Μια ομάδα προηγμένης επίμονης απειλής που συνδέεται με την Κίνα, γνωστή ως Camaro Dragon, ξεκίνησε μια στοχευμένη εκστρατεία κυβερνοκατασκοπείας εναντίον οντοτήτων στο Κατάρ μόλις μία ημέρα μετά το ξέσπασμα νέων εχθροπραξιών στη Μέση Ανατολή την 1η Μαρτίου 2026.
Η ομάδα χρησιμοποίησε έγγραφα με θέμα τον πόλεμο, σχεδιασμένα να μοιάζουν με επείγουσες, πραγματικές επικοινωνίες που συνδέονται με το Operation Epic Fury, εξαπατώντας τους παραλήπτες να ανοίξουν κακόβουλα αρχεία που εγκατέστησαν σιωπηλά την κερκόπορτα PlugX στους υπολογιστές τους.
Ο χρόνος αυτής της εκστρατείας ήταν εντυπωσιακός. Μέσα σε 24 ώρες από την περιφερειακή κλιμάκωση, οι παράγοντες της απειλής είχαν ήδη προετοιμάσει και αναπτύξει προσεκτικά δημιουργημένα αρχεία ηλεκτρονικού ψαρέματος που μιμούνταν το νόμιμο περιεχόμενο που σχετίζεται με συγκρούσεις, αναμειγνύοντας την πλημμύρα των επικοινωνιών που κυκλοφορούσαν κατά τη διάρκεια μεγάλων γεωπολιτικών γεγονότων.
Αυτή η ταχύτητα δείχνει πόσο γρήγορα μπορούν να περιστρέφονται οι ομάδες APT με κινεζική σύνδεση όταν συμβαίνει μια σημαντική εξέλιξη, μετατρέποντας τις έκτακτες ειδήσεις σε όπλο.
Οι αναλυτές του Check Point εντόπισαν δύο ξεχωριστές εκστρατείες μόλυνσης που εκτελούνται παράλληλα, και οι δύο κατευθύνονται στο Κατάρ και το καθένα χρησιμοποιεί διαφορετικούς μηχανισμούς παράδοσης και τελικά ωφέλιμα φορτία, υποδεικνύοντας τη συμμετοχή τουλάχιστον δύο διακριτών ομάδων παραγόντων απειλών.
Ο ευρύτερος αντίκτυπος εκτείνεται πέρα από έναν μεμονωμένο οργανισμό ή κυβερνητικό γραφείο. Το Κατάρ βρίσκεται σε ένα σταυροδρόμι περιφερειακής και παγκόσμιας επιρροής, διατηρώντας δεσμούς με ανταγωνιστικές δυνάμεις στη Μέση Ανατολή και πέρα από αυτήν.
Ένας επιτυχημένος συμβιβασμός θα μπορούσε να δώσει στις κινεζικές υπηρεσίες πληροφοριών πρόσβαση σε ευαίσθητες επικοινωνίες και στρατηγικά δεδομένα σημαντικής γεωπολιτικής αξίας.
Αυτές οι εκστρατείες σηματοδοτούν επίσης μια σαφή αλλαγή στις προτεραιότητες στόχευσης του κινεζικού συνδέσμου, καθώς η περιοχή του Κόλπου δεν το είχε προηγουμένως εμφανίσει εμφανώς στις δημόσιες αναφορές σχετικά με την κρατική χορηγία κατασκοπείας.
.webp)
Η ίδια μέθοδος παράδοσης παρατηρήθηκε στα τέλη Δεκεμβρίου 2025 εναντίον τουρκικών στρατιωτικών στόχων, υποδηλώνοντας ότι αυτό το σύμπλεγμα διατηρεί σταθερή εστίαση στην ευρύτερη Μέση Ανατολή.
Η σχεδόν άμεση περιστροφή στο Κατάρ μετά την κλιμάκωση δείχνει ότι αυτοί οι ηθοποιοί ήταν ήδη προετοιμασμένοι και τοποθετημένοι, περιμένοντας την κατάλληλη στιγμή για να χτυπήσουν.
Παραβίαση DLL και ανάπτυξη PlugX σε πολλαπλά στάδια
Η πρώτη εκστρατεία άνοιξε με ένα αρχείο αρχείου μεταμφιεσμένο σε φωτογραφίες που τεκμηριώνουν πυραυλικές επιθέσεις σε αμερικανικές βάσεις στο Μπαχρέιν.
Όταν ένα θύμα άνοιξε και έτρεξε το περιεχόμενο του αρχείου, ένα αρχείο συντόμευσης των Windows (.LNK) πυροδότησε αθόρυβα μια μακρά αλυσίδα μόλυνσης πολλαπλών σταδίων που αρχικά έφτασε σε έναν παραβιασμένο απομακρυσμένο διακομιστή για να ανακτήσει το ωφέλιμο φορτίο επόμενου σταδίου, πριν καταχραστεί τελικά την παραβίαση DLL της νόμιμης εφαρμογής Baidu NetDisk και bindisk. κερκόπορτα.
.webp.png)
Το PlugX είναι ένα αρθρωτό backdoor συνδεδεμένο με πολλούς κινεζικούς παράγοντες απειλών από το 2008. Ο σχεδιασμός του που βασίζεται σε πρόσθετα επιτρέπει στους εισβολείς να εκτελούν ένα ευρύ φάσμα εργασιών μετά τον συμβιβασμό — κλοπή αρχείων, λήψη στιγμιότυπων οθόνης, εγγραφή πατημάτων πλήκτρων και εκτέλεση απομακρυσμένων εντολών — χωρίς να τραβούν περιττή προσοχή ασφαλείας.
Το δείγμα PlugX από αυτήν την καμπάνια χρησιμοποιούσε το κλειδί κρυπτογράφησης διαμόρφωσης qwedfgx202211 και ένα κλειδί αποκρυπτογράφησης με μορφή ημερομηνίας (20260301@@@), και οι δύο παρατηρήθηκαν προηγουμένως σε εκστρατείες που αποδίδονταν στον Camaro Dragon, γνωστό και ως Earth Preta και Mustang Panda.
Η δεύτερη καμπάνια χρησιμοποίησε ένα αρχείο προστατευμένο με κωδικό πρόσβασης με το όνομα “Strike at Gulf oil and gas points.zip”, που πιθανότατα παραδόθηκε μέσω email.
Βασίστηκε σε χαμηλής ποιότητας θέλγητρα που δημιουργήθηκαν από την τεχνητή νοημοσύνη που υποδύονταν την ισραηλινή κυβέρνηση και ανέπτυξε έναν φορτωτή βασισμένου σε Rust που δεν είχε δει στο παρελθόν που έκανε κατάχρηση της πειρατείας DLL μέσω nvdaHelperRemote.dllένα στοιχείο του προγράμματος ανάγνωσης οθόνης ανοιχτού κώδικα NVDA, για να ρίξει τελικά το Cobalt Strike ως τελικό ωφέλιμο φορτίο.
Η υποδομή C2 διέτρεχε το Kaopu Cloud και το Cloudflare, ταιριάζοντας τακτικές, τεχνικές και διαδικασίες που σχετίζονται με προηγούμενη δραστηριότητα κινεζικής-nexus.
.webp.jpeg)
Οι οργανισμοί σε όλη την περιοχή του Κόλπου θα πρέπει να αντιμετωπίζουν όλα τα συνημμένα email με θέμα τις συγκρούσεις με εξαιρετική προσοχή, ειδικά σε περιόδους ενεργού γεωπολιτικής έντασης.
Συνιστάται ιδιαίτερα στις ομάδες ασφαλείας να παρακολουθούν την παραβίαση DLL που περιλαμβάνει αξιόπιστες εφαρμογές τρίτων, να αποκλείουν γνωστούς κακόβουλους δείκτες συμπεριλαμβανομένων των IP 185.219.220.73 και 91.193.17.117 και τομέα almersalstore[.]comκαι διατηρεί ενημερωμένα τα εργαλεία εντοπισμού τελικών σημείων για να αναγνωρίζουν τις παραλλαγές του PlugX και τη δραστηριότητα του φάρου Cobalt Strike στα δίκτυά τους.
