Αποκαλύφθηκε μια άκρως συντονισμένη εκστρατεία κυβερνοκατασκοπείας που στοχεύει κυβερνητικό οργανισμό στη Νοτιοανατολική Ασία, με παράγοντες απειλών να αναπτύσσουν ένα μείγμα κακόβουλου λογισμικού που διαδίδεται μέσω USB, trojans απομακρυσμένης πρόσβασης (RAT) και κλέφτες δεδομένων για να εξασφαλίσουν μακροπρόθεσμη πρόσβαση σε ευαίσθητα κυβερνητικά συστήματα.
Η επιχείρηση, που δραστηριοποιήθηκε μεταξύ Ιουνίου και Αυγούστου 2025, περιελάμβανε τρία ξεχωριστά συμπλέγματα δραστηριότητας που εκτελούνταν ταυτόχρονα μέσα στο δίκτυο του ίδιου θύματος, όλα φέροντας ιδιαίτερα ισχυρές συνδέσεις με ομάδες απειλών ευθυγραμμισμένες με την Κίνα.
Τα τρία συμπλέγματα χρησιμοποίησαν το καθένα διαφορετικό σύνολο εργαλείων, αλλά φάνηκε να εργάζονται προς τον ίδιο στόχο.
Το πρώτο αποδόθηκε στον αρχοντικό Ταύρο, έναν γνωστό ηθοποιό απειλών που χρησιμοποίησε α Το σκουλήκι USB που ονομάζεται USBFect — το οποίο επίσης προσδιορίζεται ως HIUPAN — για να προωθήσει την κερκόπορτα PUBLOAD στα τελικά σημεία της κυβέρνησης.
Το δεύτερο σύμπλεγμα, που παρακολουθείται ως CL-STA-1048, συνοδεύεται από μια ευρύτερη εργαλειοθήκη κατασκοπείας που περιελάμβανε την κερκόπορτα EggStremeFuel, το Masol RAT, το EggStreme Loader, το Gorem RAT και ένα εργαλείο κλοπής δεδομένων που ονομάζεται TrackBak.
Το τρίτο σύμπλεγμα, CL-STA-1049, πήρε μια πιο κρυφή διαδρομή, χρησιμοποιώντας έναν πρόσφατα αναγνωρισμένο φορτωτή που ονομάζεται Hypnosis για να αναπτύξει αθόρυβα το FluffyGh0st RAT.
Οι ερευνητές της Ενότητας 42 προσδιόρισαν και τις τρεις συστάδες λειτουργώντας ταυτόχρονα στο ίδιο περιβάλλον θυμάτων και σημείωσε ότι παρά τη χρήση εντελώς διαφορετικών εργαλείων, κάθε ομάδα επιδίωκε επίμονη πρόσβαση στον ίδιο κυβερνητικό στόχο υψηλής αξίας.
.webp.png)
Αυτό παρέχει μια οπτική επισκόπηση του τρόπου με τον οποίο αυτά τα συμπλέγματα σχετίζονται μεταξύ τους, τα εργαλεία που ανέπτυξε το καθένα από αυτά και τους δεσμούς τους με ομάδες απειλών που αναφέρθηκαν προηγουμένως.
Η σύγκλιση τριών συμπλεγμάτων ευθυγραμμισμένων με την Κίνα έναντι ενός μόνο στόχου σηματοδοτεί μια καλά εξοπλισμένη και οργανωμένη επιχείρηση.
Το CL-STA-1048 δείχνει σαφείς συνδέσμους με το Earth Estries και την καμπάνια Crimson Palace, ενώ το CL-STA-1049 επικαλύπτει σημαντικά την ομάδα που είναι γνωστή ως Unfading Sea Haze.
Μαζί, αυτές οι συνδέσεις υποδηλώνουν ότι οι χαλαρά συντονισμένοι παράγοντες απειλών μπορεί να μοιράζονται στόχους, υποδομές ή στρατηγική κατεύθυνση — όλα προς τον κοινό στόχο της συλλογής μακροπρόθεσμων πληροφοριών από τις κυβερνητικές επιχειρήσεις της Νοτιοανατολικής Ασίας.
Η πιθανότητα ζημιάς αυτής της καμπάνιας εκτείνεται πολύ πέρα από την απλή κλοπή δεδομένων. Οι εισβολείς στρώθηκαν σε keyloggers, clipboard stealers, συλλέκτες αρχείων και αντίστροφα κελύφη, δίνοντάς τους ευρεία ορατότητα στην κυβερνητική δραστηριότητα.
Το TrackBak, το infostealer που αναπτύχθηκε από το CL-STA-1048, μεταμφιέστηκε σε αρχείο καταγραφής του Microsoft Edge ενώ συλλέγει αθόρυβα πληκτρολογήσεις, περιεχόμενα του πρόχειρου, δεδομένα δικτύου και αρχεία από συνδεδεμένες μονάδες δίσκου.
Με αυτό το επίπεδο μόνιμης πρόσβασης, οι εισβολείς μπορούσαν να χαρτογραφήσουν εσωτερικά συστήματα, να παρακολουθούν τις επικοινωνίες και να εντοπίζουν ευαίσθητα υλικά για μεγάλο χρονικό διάστημα χωρίς να υψώνουν εμφανείς σημαίες.
Λοίμωξη που βασίζεται σε USB: Πώς διαδίδεται το USBFect PUBLOAD
Το πιο χαρακτηριστικό διάνυσμα επίθεσης σε αυτήν την καμπάνια ήταν η χρήση ενός τύπου worm USB για αθόρυβη μετακίνηση σε συνδεδεμένα κυβερνητικά συστήματα.
Το USBFect λειτουργεί παρακολουθώντας οποιαδήποτε αφαιρούμενη μονάδα δίσκου που έχει εισαχθεί πρόσφατα και, στη συνέχεια, αντιγράφοντας αυτόματα τα εξαρτήματά της σε αυτήν τη μονάδα για να εξαπλωθεί στο επόμενο συνδεδεμένο μηχάνημα.
Μόλις εγκατασταθεί, τοποθετεί τα αρχεία σε διαδρομές που μιμούνται στενά τους νόμιμους καταλόγους των Windows και της Intel — συμπεριλαμβανομένων ProgramData/Intel/_/EVENT.dll και ProgramData/intel/_/UsbConfig.exe — καθιστά τον έγκαιρο εντοπισμό σημαντικά δύσκολο για τους υπερασπιστές που εξετάζουν τη δραστηριότητα του συστήματος αρχείων.
Ενσωματωμένο στο USBFect είναι ένας φορτωτής κελύφους που ονομάζεται ClaimLoader, ο οποίος απορρίφθηκε ως αρχείο DLL με το όνομα EVENT.dll (SHA256: 4b29b74798a4e6538f2ba245c57be82953383dc91fe0a91b984b903d12043e92).
Το ClaimLoader χρησιμοποιεί ένα κλειδί XOR για να αποκρυπτογραφήσει ένα ωφέλιμο φορτίο κρυφού κώδικα κελύφους και στη συνέχεια το εκτελεί μέσω του CryptEnumOIDInfo Επιστροφή κλήσης API — μια τεχνική που έχει επιλεγεί ειδικά για να ξεφύγει από την κοινή εργαλεία ασφαλείας.
.webp.jpeg)
Αυτό δείχνει πώς λειτουργεί στην πράξη αυτή η αλυσίδα αποκρυπτογράφησης και εκτέλεσης. Ο κώδικας του κελύφους είναι PUBLOAD, μια κερκόπορτα που συνδέεται με τον διακομιστή εντολών και ελέγχου μέσω TCP, ενώ συγκαλύπτει την κυκλοφορία του με μια ψεύτικη κεφαλίδα TLS (17 03 03) για να συνδυάζεται με την κανονική ροή δικτύου.
Μόλις συνδεθεί, το PUBLOAD συλλέγει αθόρυβα πληροφορίες συστήματος, συμπεριλαμβανομένων των στοιχείων του ονόματος υπολογιστή, του ονόματος χρήστη και του τόμου, και τις στέλνει πίσω κρυπτογραφημένες στον εισβολέα.
Οι οργανισμοί που χειρίζονται ευαίσθητα κρατικά δεδομένα θα πρέπει να απενεργοποιήσουν την αυτόματη εκτέλεση για αφαιρούμενες συσκευές αποθήκευσης, να επιβάλουν αυστηρές πολιτικές πρόσβασης USB και να παρακολουθούν ενεργά για ασυνήθιστη φόρτωση DLL σε καταλόγους που υποδύονται νόμιμες διαδρομές συστήματος.
Η εφαρμογή ανίχνευσης συμπεριφοράς για την επισήμανση εκτέλεσης κώδικα κελύφους στη μνήμη και η διατήρηση ενημερωμένης τηλεμετρίας τελικού σημείου παραμένουν πρακτικά βήματα για την αντιμετώπιση αυτών των απειλών προτού μπορέσουν να παραδώσουν πλήρως τα ωφέλιμα φορτία τους.
