Sandman APT
A Sandman névre keresztelt, korábban nem dokumentált csoportnak egy sor kibertámadt tulajdonítottak a Közel-Keleten, Nyugat-Európában és a dél-ázsiai szubkontinens távközlési szolgáltatói ellen. A SentinelOne által megfigyelt tevékenységeket olyan tulajdonságok jellemzik, amik a kitűzött célok elérését célzó tudatos megközelítésre utalnak, miközben minimalizálják az észlelés kockázatát. Sem a kampány, sem a taktikák nem mutattak összefüggést egyetlen ismert fenyegető szereplővel vagy csoporttal sem, bár a rendelkezésre álló bizonyítékok arra utalnak, hogy a kiberkémkedés szereplői hajlamosak a telekommunikációs szektort megcélozni különböző földrajzi területeken. A támadásokat először 2023 augusztusában figyelték meg. Az hitelesítő adatok ellopása és a felderítés után Sandman behatolt a speciálisan megcélzott munkaállomásokra az NTLM hitelesítési protokollon keresztüli pass-the-hash technikával. Az egyik célponton az összes munkaállomást vezető beosztású személyzethez rendelték. A SentinelOne megosztotta az azonosításhoz szükséges mutatókat.