Tehdit avcıları, Çin’e uyumlu bir tehdit oyuncusunun taktiklerini ortaya çıkardılar. İstenmeyen kitapçı Bu, Marssnake olarak adlandırılan daha önce belgelenmemiş bir arka kapı ile Suudi Arabistan’da isimsiz bir uluslararası organizasyonu hedef aldı.
Hacking grubunun Mart 2023’te ve yine bir yıl sonra varlığı hedefleyen müdahalelerini keşfeden ESET, etkinliğin, ilginin hedeflerine sızmak için mızrak aktı e-postalarını uçuş biletlerini kullanarak kullandığını söyledi.
“İstenmeyen kitapçı, genellikle tuzak olarak uçuş bileti ile mızrak-aktarma e-postaları gönderir ve hedefleri Asya, Afrika ve Orta Doğu’daki hükümet kuruluşlarını içerir.” Dedi.
Tehdit oyuncusu tarafından monte edilen saldırılar, Çin hackleme ekipleri tarafından yaygın olarak kullanılan Chinoxy, Deedrat, Poison Ivy ve Berat gibi arka fırınların kullanımı ile karakterizedir.
İstenmeyen kitapçı, Saudi Arabistan’daki İslami kar amacı gütmeyen bir organizasyona karşı bir arka kapı kodlu Zardoor’u kullanan bir arka kapıya yerleştirildiği tespit edilen, uzay korsanları olarak izlenen bir küme ile örtüşmeleri paylaştığı değerlendirildi.
Ocak 2025’te Slovak Siber Güvenlik Şirketi tarafından tespit edilen en son kampanya, Suudi Airlines’tan aynı Suudi Arap organizasyonuna uçuş rezervasyonu hakkında olduğunu iddia eden bir kimlik avı e -postası göndermeyi içeriyordu.
“E -postaya bir Microsoft Word belgesi eklenmiştir ve tuzak içeriğine […] ESET, değiştirilmiş ancak Academia web sitesinde çevrimiçi olarak mevcut olan bir PDF’ye dayanan bir uçuş biletidir, PDF dosyalarının yüklenmesine izin veren akademik araştırmaları paylaşmak için bir platform. “Dedi.
Bir kez başlatıldıktan sonra, dosya sistemine bir yürütülebilir veya yazan bir VBA makrosunun yürütülmesini tetikler (“smsdrvhost.exe”), Marssnake için bir yükleyici görevi gören, uzak bir sunucu ile iletişim kuran bir arka kapı görevi gören bir yükleyici görevi görür.[.]tepe”).
ESET, “2023, 2024 ve 2025 yıllarında bu organizasyondan ödün vermeye yönelik çoklu girişimler, bu özel hedefte istenmeyen kitapçı tarafından güçlü bir ilgiyi gösteriyor.” Dedi.
Açıklama, PerplexedGoblin’in (AKA APT31) Aralık 2024’te Nanoslate olarak adlandırılan bir casusluk arka kapısını dağıtmayı hedeflediği gibi izlenen başka bir Çin tehdit oyuncusu olarak geliyor.
ESET ayrıca, DigitalRecyclers’ın Avrupa Birliği hükümet kuruluşlarına devam eden saldırıları tespit ettiğini ve ağ trafiğini gizlemek için KMA VPN Operasyonel Röle Kutusu (ORB) ağını kullandığını ve RClient, Hydrorshell ve Hediye Kutusu Backoors’u dağıttığını söyledi.
DigitalRecyclers ilk olarak 2021’de şirket tarafından tespit edildi, ancak en az 2018’den beri aktif olduğuna inanılıyor.
ESET, “Muhtemelen KE3Chang ve BackDoordiplomasy ile bağlantılı olan DigitalRecyclers, APT15 galaksisinde çalışıyor.” Dedi. Diyerek şöyle devam etti: “Project KMA Stealer projesinin bir varyantı olan RClient İmplantı’nı kullanıyorlar. Eylül 2023’te grup, Google’ın Protobuf ve C&C iletişimleri için MBED TLS kullanan yeni bir arka kapı, hidrorshell tanıttı.”