CL-STA-0043 kampány
A közel-keleti és afrikai kormányzati szervek kiberkémkedési kampány célpontjába kerültek egy valószínűleg állami támogatású szereplőtől, amely korábban dokumentálatlan ritka hitelesítőadat-lopást és Exchange e-mail-kiszűrési technikákat alkalmaz. A Palo Alto Cortex Threat Research csapata által észlelt támadásokat egy olyan fenyegetéscsoporthoz hozták összefüggésbe, amelyet jelenleg CL-STA-0043 ideiglenes néven követnek nyomon, amit erőteljes szereplőként jellemeztek.
A kampány célja rendkívül bizalmas és érzékeny információk megszerzése volt, kifejezetten politikusokkal, katonai tevékenységekkel és külügyminisztériumokkal kapcsolatban. A támadások elemzése során a kutatók olyan új technikákat és eszközöket fedeztek fel, mint például a memóriában lévő VBS implantátum a webshell titkos futtatására, valamint egy új Exchange e-mail hitelesítő adatlopási technika, amelyet először használtak.
A fertőzési lánc azzal kezdődik, hogy a fenyegetés szereplője kihasználja a sebezhető Internet Information Services (IIS) szolgáltatást, és a Microsoft Exchange szolgáltatásokat. A kutatók azt mondják, hogy sikertelen kísérleteket figyeltek meg a China Chopper webshell telepítését.