Ένα λιβυκό διυλιστήριο πετρελαίου, ένας οργανισμός τηλεπικοινωνιών και ένα κρατικό ίδρυμα έπεσαν θύματα μιας συντονισμένης εκστρατείας κατασκοπείας μεταξύ Νοεμβρίου 2025 και Φεβρουαρίου 2026.
Οι επιθέσεις παρείχαν το AsyncRAT, ένα δημόσια διαθέσιμο Trojan απομακρυσμένης πρόσβασης με τεκμηριωμένο ιστορικό χρήσης από ομάδες απειλών που χρηματοδοτούνται από το κράτος, εγείροντας άμεσες ανησυχίες για την ασφάλεια της κρίσιμης υποδομής της Λιβύης.
Το AsyncRAT είναι ένα εργαλείο απομακρυσμένης πρόσβασης ανοιχτού κώδικα που κέρδισε την έλξη τόσο μεταξύ των κυβερνοεγκληματικών ομάδων όσο και των φορέων των εθνικών κρατών χάρη στη δομοστοιχειωτή κατασκευή και τις ευρείες δυνατότητες επιτήρησής του.
Μπορεί να καταγράφει πατήματα πλήκτρων, να καταγράφει στιγμιότυπα οθόνης και να εκτελεί εντολές εξ αποστάσεως, όλα τα οποία το καθιστούν εξαιρετικά αποτελεσματικό για εκτεταμένη συλλογή πληροφοριών.
Δεδομένου ότι είναι ελεύθερα προσβάσιμο και δεν συνδέεται με έναν μόνο γνωστό ηθοποιό, η απόδοση επιθέσεων που το χρησιμοποιούν είναι εγγενώς δύσκολη για τους ερευνητές.
Οι ερευνητές της Symantec εντόπισαν την καμπάνια μετά από ιατροδικαστική ανάλυση παραβιασμένων δικτύων, όπου αποκάλυψαν έγγραφα δελεασμού που συνδέονται με πολιτικά γεγονότα της Λιβύης.
Ένα έγγραφο είχε τίτλο «Διαρροή πλάνα CCTV – Η δολοφονία του Σαΐφ αλ-Καντάφι.gz», με κεφαλαιοποίηση τη δολοφονία του Σαΐφ αλ Καντάφι στις 3 Φεβρουαρίου 2026, του δεύτερου γιου του πρώην ηγέτη Μουαμάρ Καντάφι.
Η στοχευμένη φύση αυτών των δολωμάτων κατέστησε σαφές ότι οι επιτιθέμενοι είχαν στοχεύσει συγκεκριμένα τις λιβυκές οργανώσεις.
Ο ενεργειακός τομέας της Λιβύης γίνεται ολοένα και πιο σημαντικός, με τη χώρα να καταγράφει παραγωγή πετρελαίου 1,37 εκατομμυρίων βαρελιών ημερησίως πέρυσι – το υψηλότερο επίπεδο σε περίπου 12 χρόνια.
Στο πλαίσιο της σύγκρουσης στην περιοχή του Κόλπου και των φόβων για αναρρίχηση των τιμών του πετρελαίου πάνω από τα 200 δολάρια το βαρέλι, η στόχευση ενός διυλιστηρίου της Λιβύης έχει σαφές γεωπολιτικό βάρος.
Οι συγκρούσεις στα στενά του Ορμούζ, μέσω του οποίου ρέει περίπου το 20% της παγκόσμιας προσφοράς πετρελαίου, έχουν ήδη αναστατώσει τις παγκόσμιες αγορές ενέργειας και έχουν τραβήξει την αυξανόμενη προσοχή προς τους παραγωγούς πετρελαίου πέρα από το Ιράν.
Τα αρχεία στο VirusTotal υποδηλώνουν ότι αυτή η καμπάνια μπορεί να ξεκίνησε ήδη από τον Απρίλιο του 2025, με πολλά αρχεία που φέρουν ονόματα με θέμα τη Λιβύη να υποδεικνύουν μια μακροχρόνια, εστιασμένη προσπάθεια στόχευσης.
Ο παράγοντας της απειλής πιστεύεται ότι είχε επίμονη πρόσβαση στο δίκτυο της εταιρείας πετρελαίου από τον Νοέμβριο του 2025 έως τα μέσα Φεβρουαρίου 2026, με πρόσθετη δραστηριότητα που καταγράφηκε τον Δεκέμβριο του 2025, αποκαλύπτοντας τη σαφή πρόθεση να διατηρήσει μια ήσυχη βάση για τη συλλογή πληροφοριών.
Αλυσίδα λοίμωξης πολλαπλών σταδίων
Η μόλυνση ξεκίνησε με ένα email ηλεκτρονικού ψαρέματος με δόρυ που έφερε ένα έγγραφο με τοπικό θέμα, σχεδιασμένο να προσελκύει την προσοχή του στόχου.
Ένα πρόγραμμα λήψης VBS που φέρει ένα πολιτικά σχετικό όνομα αρχείου, όπως π.χ video_saif_gadafi_2026.vbsβρέθηκε επίσης σε υπολογιστές που επηρεάστηκαν και ανασύρθηκε από το KrakenFiles, μια πλατφόρμα φιλοξενίας αρχείων που βασίζεται σε σύννεφο, σηματοδοτώντας την έναρξη ενός προσεκτικά οργανωμένου συμβιβασμού σε πολλά βήματα.
Μόλις εκτελεστεί το αρχείο VBS, κατέβασε ένα σταγονόμετρο PowerShell που ήταν κρυμμένο κάτω από το όνομα του αρχείου image.pngτο οποίο προχώρησε στη δημιουργία μιας προγραμματισμένης εργασίας των Windows που ονομάζεται “devil” από ένα αρχείο διαμόρφωσης XML που ήταν αποθηκευμένο στο C:\Users\Public\Music\Googless.xml.
Αυτή η εργασία εξασφάλιζε ότι το σταγονόμετρο θα λειτουργούσε σε προκαθορισμένο χρόνο, μετά τον οποίο η εργασία διαγράφηκε για να αφαιρεθούν τα ορατά ίχνη της παρουσίας του και να αποφευχθεί ο συνηθισμένος εντοπισμός.
Το AsyncRAT ήταν το τελικό ωφέλιμο φορτίο που παραδόθηκε μετά από αυτή τη σειρά, παρέχοντας στον εισβολέα πλήρη απομακρυσμένο έλεγχο του μολυσμένου συστήματος.
Μπορούσε να καταγράψει πατήματα πλήκτρων, να τραβήξει στιγμιότυπα οθόνης και να εκτελέσει εντολές, ενώ η αρθρωτή φύση του επέτρεπε στον εισβολέα να προωθήσει αθόρυβα ενημερώσεις δυνατοτήτων χωρίς να διαταράξει τη συνεχιζόμενη λειτουργία.
Αυτός ο συνδυασμός ευελιξίας και μυστικότητας έκανε το AsyncRAT ιδανικό εργαλείο για μια καμπάνια που καθοδηγείται από τη μακροπρόθεσμη συλλογή πληροφοριών.
Οι οργανισμοί στον ενεργειακό τομέα, μαζί με εκείνους της κυβέρνησης και των τηλεπικοινωνιών, θα πρέπει να ενισχύσουν την άμυνα έναντι του spear-phishing εκπαιδεύοντας το προσωπικό ώστε να αναγνωρίζει πολιτικά θεματικές τακτικές δελεασμού, ιδιαίτερα εκείνες που συνδέονται με τα τρέχοντα γεγονότα.
Οι ομάδες ασφαλείας θα πρέπει να ορίσουν κανόνες παρακολούθησης για ασυνήθιστη προγραμματισμένη δημιουργία εργασιών, ειδικά εργασίες που συνδέονται με αρχεία XML που τοποθετούνται σε καταλόγους προσβάσιμους από το κοινό, καθώς αυτό αντικατοπτρίζει άμεσα την προσέγγιση εμμονής που χρησιμοποιείται σε αυτήν την καμπάνια.
Η εκτέλεση του VBS και άλλων αρχείων δέσμης ενεργειών από μη αξιόπιστες ή εξωτερικές πηγές θα πρέπει να περιοριστεί και η χρήση του PowerShell θα πρέπει να περιορίζεται σε εξουσιοδοτημένες, παρακολουθούμενες διεργασίες για τη διακοπή αυτού του τύπου παράδοσης με σταγονόμετρο πολλαπλών σταδίων.
Η ανάπτυξη εργαλείων ανίχνευσης τελικού σημείου που μπορούν να αναγνωρίσουν τα μοτίβα συμπεριφοράς του AsyncRAT — όπως μη εξουσιοδοτημένη καταγραφή πλήκτρων, δραστηριότητα καταγραφής οθόνης και εξερχόμενες συνδέσεις εντολών και ελέγχου — είναι απαραίτητη για κάθε οργανισμό που δραστηριοποιείται σε τομέα υψηλού κινδύνου.
