Graphiron Infostealer
Az Symantec szerint az Oroszországhoz köthető Nodaria csoport új adatlopót alkalmaz, amelynek célja az információk széles körének ellopása a fertőzött számítógépekről. A Nodaria kémcsoport (más elemzők által: UAC-0056, UNC2589, TA471) egy új információt használva rosszindulatú programokat lop ukrajnai célpontok ellen. A rosszindulatú program (Infostealer.Graphiron) Go nyelven írták, és arra készült, hogy információkat gyűjtsön be a fertőzött számítógépről, köztük a rendszerinformációkat, hitelesítő adatokat, képernyőképeket és fájlokat.
A Graphiron legkorábbi azonosítása 2022 októberéből származnak és 2023 január közepéig használták. A Graphiron egy kétlépcsős fenyegetés, amely egy letöltőből (Downloader.Graphiron) és egy exploitból (Infostealer.Graphiron) áll.
A letöltő hardcoded parancs- és vezérlési (C&C) szervercímeket tartalmaz. Futatáskor ellenőrzi a rosszindulatú programok elemző eszközeinek feketelistáját
A Nodaria legalább 2021 márciusa óta aktív, és úgy tűnik, főként az ukrajnai szervezetek elleni támadásokban vesz részt. Arra is korlátozott bizonyíték áll rendelkezésre, hogy a csoport részt vett volna a kirgizisztáni célpontok elleni támadásokban. Harmadik felek jelentései a csoportot a Georgia elleni támadásokhoz is hozzák összefüggésbe. A csoport akkor került a közvélemény figyelmébe, amikor 2022 januárjában összekapcsolták a WhisperGate ablaktörlő támadásokkal.
A Symantec megosztotta az azonosításhoz szükséges mutatókat.