Headlace backdoor kampány
2023 decemberétől az IBM X-Force több olyan hamis dokumentumot fedezett fel, amelyekben túlnyomórészt a folyamatban lévő izraeli-Hamász háborút mutatják be, hogy megkönnyítsék az ITG05 exkluzív Headlace backdoor célbejuttatását. Az újonnan felfedezett kampány világszerte legalább 13 országban található célpontok ellen irányul, és tudományos, pénzügyi és diplomáciai központok által készített hiteles dokumentumokat használ fel. Az ITG05 infrastruktúrája biztosítja, hogy csak egy adott országból származó célpontok kapják meg a kártevőt, ami a kampány rendkívül célzott jellegét jelzi.
Az X-Force az ITG05-öt valószínűleg orosz állam által támogatott, több tevékenységi csoportból álló csoportként követi nyomon, amely átfedéseket mutat az iparág által azonosított APT28, UAC-028, Fancy Bear és Forest Blizzard fenyegetőszereplő csoportokkal.
Az egyes csalik tartalma olyan témákat tartalmaz, amelyek a kutatás és a politikaalkotás iránt érdeklődő egyedi közönség számára relevánsak. A csalétek jellege arra utal, hogy a tevékenység a humanitárius segélyek elosztására közvetlen befolyással bíró, elsősorban európai székhelyű szervezetek ellen irányul. Felfedezésünk több olyan legitim dokumentumot tartalmaz, amelyek a pénzügyekhez, agytrösztökhöz, oktatási szervezetekhez, valamint kormányzati és nem kormányzati szervezetekhez (NGO-k) kapcsolódnak, amelyeket csalogatóanyagként használnak fel. Ezek a fájlok nagyobb fertőzési láncokban szerepelnek, amelyek az ITG05 exkluzív Headlace hátsó ajtó átadásához kapcsolódnak, amely képes megkönnyíteni a célokra irányuló többféle rosszindulatú műveletet.
Az X-Force nagy valószínűséggel úgy ítéli meg, hogy az ITG05 továbbra is kihasználja a diplomáciai és tudományos központok elleni támadásokat, hogy az ellenfélnek fejlett betekintést nyújtson a felmerülő politikai döntésekbe. A közelmúltbeli műveletek alapján az ITG05 továbbra is képes alkalmazkodni a kiberfenyegetettségi környezet lehetőségeinek változásaihoz azáltal, hogy nyilvános CVE-ket használ ki, és kihasználja a kereskedelmi forgalomban elérhető infrastruktúrát.