Pemburu ancaman telah mengekspos taktik aktor ancaman yang diselaraskan oleh China Buku yang tidak diminta Itu menargetkan organisasi internasional yang tidak disebutkan namanya di Arab Saudi dengan backdoor yang sebelumnya tidak berdokumen dijuluki Marssnake.
ESET, yang pertama kali menemukan intrusi kelompok peretasan yang menargetkan entitas pada Maret 2023 dan lagi setahun kemudian, mengatakan aktivitas tersebut memanfaatkan email phishing tombak menggunakan tiket penerbangan sebagai umpan untuk menyusup ke target minat.
“Yang Tidak Dikolitritasikan buku mengirim email phishing tombak, umumnya dengan tiket penerbangan sebagai umpan, dan targetnya termasuk organisasi pemerintah di Asia, Afrika, dan Timur Tengah,” kata perusahaan itu dalam laporan aktivitas APT terbaru untuk periode mulai dari Oktober 2024 hingga Maret 2025.
Serangan yang dipasang oleh aktor ancaman ditandai dengan penggunaan backdoors seperti chinoxy, deedrat, racun ivy, dan berat, yang banyak digunakan oleh kru peretasan Cina.
UnsonicitedBooker dinilai untuk berbagi tumpang tindih dengan cluster yang dilacak sebagai bajak laut luar angkasa dan kluster aktivitas ancaman yang tidak dikribahkan yang ditemukan mengerahkan Zardoor bertopi pintu terhadap organisasi nirlaba Islam di Arab Saudi.
Kampanye terbaru, yang terlihat oleh perusahaan cybersecurity Slovakia pada Januari 2025, melibatkan mengirim email phishing yang mengklaim berasal dari Saudia Airlines ke organisasi Arab Saudi yang sama tentang pemesanan penerbangan.
“Dokumen Microsoft Word dilampirkan ke email, dan konten umpan […] adalah tiket penerbangan yang dimodifikasi tetapi didasarkan pada PDF yang tersedia online di situs web Academia, platform untuk berbagi penelitian akademik yang memungkinkan pengunggahan file PDF, “kata ESET.
Dokumen kata, setelah diluncurkan, memicu pelaksanaan makro VBA yang mendekode dan menulis ke sistem file yang dapat dieksekusi (“smssdrvhost.exe”) yang, pada gilirannya, bertindak sebagai loader untuk Marssnake, sebuah backdoor yang membentuk komunikasi dengan server jauh (“contact.[.]atas”).
“Berbagai upaya untuk mengkompromikan organisasi ini pada tahun 2023, 2024, dan 2025 menunjukkan minat yang kuat oleh buku yang tidak diminta dalam target khusus ini,” kata Eset.
Pengungkapan itu datang ketika aktor ancaman Cina lainnya dilacak sebagai Perplexedgoblin (alias APT31) menargetkan entitas pemerintah Eropa Tengah pada bulan Desember 2024 untuk mengerahkan pintu belakang spionase yang disebut nanoslate.
ESET mengatakan itu juga mengidentifikasi DigitalRecyclers melanjutkan serangan terhadap entitas pemerintah Uni Eropa, memanfaatkan jaringan Kotak Relay Operasional KMA VPN (ORB) untuk menyembunyikan lalu lintas jaringannya dan menggunakan backdoors rclient, hydrorshell, dan Giftbox.
DigitalRecyclers pertama kali terdeteksi oleh perusahaan pada tahun 2021, meskipun diyakini aktif sejak setidaknya 2018.
“Kemungkinan terhubung dengan ke3chang dan backdoordiplomacy, DigitalRecyclers beroperasi di dalam galaksi APT15,” kata Eset. “Mereka menggunakan implan rClient, varian dari proyek pencuri KMA. Pada bulan September 2023, kelompok ini memperkenalkan backdoor baru, Hydrorshell, yang menggunakan protobuf Google dan MBED TLS untuk komunikasi C&C.”
