Các nhóm gián điệp mạng liên kết với Trung Quốc có liên quan đến một chiến dịch kéo dài đã thâm nhập vào một số nhà khai thác viễn thông ở một quốc gia châu Á duy nhất ít nhất kể từ năm 2021.
"Những kẻ tấn công đã đặt backdoor trên mạng của các công ty bị nhắm mục tiêu và cũng cố gắng đánh cắp thông tin đăng nhập", Symantec Threat Hunter Team, một phần của Broadcom, cho biết trong một báo cáo được chia sẻ với The Hacker VN.
Công ty an ninh mạng không tiết lộ quốc gia bị nhắm mục tiêu, nhưng cho biết họ đã tìm thấy bằng chứng cho thấy hoạt động mạng độc hại có thể đã bắt đầu từ năm 2020.
Các cuộc tấn công cũng nhắm vào một công ty dịch vụ giấu tên phục vụ cho lĩnh vực viễn thông và một trường đại học ở một quốc gia châu Á khác.
Việc lựa chọn các công cụ được sử dụng trong chiến dịch này trùng lặp với các nhiệm vụ khác được thực hiện bởi các nhóm gián điệp Trung Quốc như Mustang Panda (hay còn gọi là Earth Preta và Fireant), RedFoxtrot (hay còn gọi là Neeedleminer và Nomad Panda) và Naikon (hay còn gọi là Firefly) trong những năm gần đây.
Điều này bao gồm các cửa hậu tùy chỉnh được theo dõi như COOLCLIENT, QUICKHEAL và RainyDay được trang bị khả năng thu thập dữ liệu nhạy cảm và thiết lập giao tiếp với máy chủ chỉ huy và kiểm soát (C2).
Mặc dù con đường truy cập ban đầu chính xác được sử dụng để vi phạm các mục tiêu hiện chưa được biết, chiến dịch cũng đáng chú ý để triển khai các công cụ quét cổng và tiến hành đánh cắp thông tin xác thực thông qua việc bán phá giá tổ ong Windows Registry.
Thực tế là công cụ này có kết nối với ba tập thể đối thủ khác nhau đã làm dấy lên một số khả năng: Các cuộc tấn công đang được tiến hành độc lập với nhau, một tác nhân đe dọa duy nhất đang sử dụng các công cụ có được từ các nhóm khác hoặc các tác nhân đa dạng đang cộng tác trong một chiến dịch duy nhất.
Vào tháng 11/2023, Kaspersky đã tiết lộ một chiến dịch phần mềm độc hại ShadowPad nhắm vào một trong những công ty viễn thông quốc gia của Pakistan bằng cách khai thác các lỗ hổng bảo mật đã biết trong Microsoft Exchange Server (CVE-2021-26855 hay còn gọi là ProxyLogon).