Aktor ancaman yang berafiliasi dengan Türkiye mengeksploitasi cacat keamanan nol-hari dalam platform komunikasi perusahaan India yang disebut Output Messenger sebagai bagian dari kampanye serangan spionase dunia maya sejak April 2024.
“Eksploitasi ini telah menghasilkan kumpulan data pengguna terkait dari target di Irak,” kata tim Intelijen Ancaman Microsoft. “Target serangan dikaitkan dengan militer Kurdi yang beroperasi di Irak, konsisten dengan prioritas penargetan debu marmer yang diamati sebelumnya.”
Kegiatan ini telah dikaitkan dengan kelompok ancaman yang dilacaknya sebagai debu marmer (sebelumnya silikon), yang juga dikenal sebagai serigala kosmik, kura -kura laut, Kurma Teal, dan UNC1326. Awak peretasan diyakini telah aktif sejak setidaknya 2017, meskipun tidak sampai dua tahun kemudian Cisco Talos mendokumentasikan serangan yang menargetkan entitas publik dan swasta di Timur Tengah dan Afrika Utara.
Awal tahun lalu, itu juga diidentifikasi sebagai penargetan telekomunikasi, media, penyedia layanan internet (ISP), Teknologi Informasi (TI)-penyedia layanan, dan situs web Kurdi di Belanda.
Microsoft telah menilai dengan keyakinan sedang bahwa aktor ancaman telah melakukan semacam pengintaian sebelumnya untuk menentukan apakah targetnya adalah pengguna output messenger dan kemudian memanfaatkan nol-hari untuk mendistribusikan muatan berbahaya dan data exfiltrate dari target.
Kerentanan yang dimaksud adalah CVE-2025-27920, kerentanan traversal direktori yang mempengaruhi versi 2.0.62 yang memungkinkan penyerang jarak jauh untuk mengakses atau menjalankan file sewenang-wenang. Masalah ini telah ditangani oleh pengembangnya Srimax pada akhir Desember 2024 dengan versi 2.0.63. Perusahaan, bagaimanapun, tidak menyebutkan cacat yang dieksploitasi di alam liar dalam penasehatnya.
Rantai serangan dimulai dengan aktor ancaman yang mendapatkan akses ke aplikasi output Messenger Server Manager sebagai pengguna yang diautentikasi. Dipercaya bahwa debu marmer menggunakan teknik seperti pembajakan DNS atau domain yang diketik untuk mencegat kredensial yang diperlukan untuk otentikasi.
Akses kemudian disalahgunakan untuk mengumpulkan kredensial messenger output pengguna dan mengeksploitasi CVE-2025-27920 untuk menjatuhkan muatan seperti “OM.VBS” dan “OMSERVERSERVICE.VBS” ke folder startup server dan “OmServerService.exe” ke direktori server “pengguna/publik/video”.
Pada fase berikutnya, aktor ancaman menggunakan “omserverservice.vbs” untuk memohon “om.vbs” dan “omserverservice.exe,” yang terakhir adalah golang backdoor yang menghubungi domain berkode keras (“api.wordinfos[.]com “) untuk exfiltration data.
“Di sisi klien, penginstal mengekstrak dan mengeksekusi file outputMessenger.exe dan omclientservice.exe yang sah, golang backdoor lain yang terhubung ke domain dan kontrol debu marmer (C2),” kata Microsoft.
“Backdoor ini pertama -tama melakukan pemeriksaan konektivitas melalui permintaan GET ke domain C2 API.WordInfos[.]com. Jika berhasil, permintaan GET kedua dikirim ke C2 yang sama yang berisi informasi nama host untuk secara unik mengidentifikasi korban. Respons dari C2 kemudian dieksekusi secara langsung menggunakan perintah 'CMD /C' yang menginstruksikan prompt perintah Windows untuk menjalankan perintah tertentu dan kemudian berakhir. “
Pada satu kasus melibatkan perangkat korban dengan output perangkat lunak klien Messenger yang diinstal menghubungkan ke alamat IP yang sebelumnya diidentifikasi seperti yang digunakan oleh debu marmer untuk kemungkinan exfiltrasi data.
Raksasa teknologi itu juga mencatat bahwa ia menemukan kelemahan kedua, merefleksikan kerentanan scripting lintas-situs (XSS) dalam versi yang sama (CVE-2025-27921), meskipun ia mengatakan tidak menemukan bukti bahwa dipersenjatai dalam serangan dunia nyata.
“Serangan baru ini menandakan pergeseran penting dalam kemampuan debu marmer sambil mempertahankan konsistensi dalam pendekatan keseluruhan mereka,” kata Microsoft. “Keberhasilan penggunaan eksploitasi nol-hari menunjukkan peningkatan kecanggihan teknis dan juga dapat menunjukkan bahwa prioritas penargetan debu marmer telah meningkat atau bahwa tujuan operasional mereka menjadi lebih mendesak.”
