Bíbor palota hadművelet
A Sophos Managed Detection and Response az összes ügyfelet érintő fenyegetésvadászatot kezdeményezett, miután egy sebezhető VMware futtatható programmal (vmnat.exe) való visszaélést észleltek dinamikus linkkönyvtár (DLL) oldalletöltés végrehajtására az egyik ügyfél hálózatán. A telemetriában hasonló incidensek után kutatva az MDR végül egy komplex, tartós kiberkémkedési kampányt (Operation Crimson Palace) fedezett fel, amely egy magas rangú délkelet-ázsiai kormányzati szervezetet célzott meg. Amint azt a jelentés első részében leírták, legalább három különböző behatolási tevékenységcsoportot azonosítottak, amelyek legalább 2023 márciusától 2023 decemberéig voltak jelen a szervezet hálózatában.
A három biztonsági fenyegetés-tevékenységi csoport – amelyeket Alpha (STAC1248), Bravo (STAC1870) és Charlie (STAC1305) néven jelöltek meg – nagy valószínűséggel kínai állami érdekek nevében működnek. Jelentésük folytatásában a három tevékenységi klaszter mélyebb technikai elemzését ismertetik, beleértve a kampányban alkalmazott taktikákat, technikákat és eljárásokat (TTP-k), lehetőség szerint a tevékenységi klaszterekhez igazítva. További technikai részleteket is közölnek az ugyanazon szervezeten belüli korábbi kompromittálásokról, amelyek a jelek szerint kapcsolódnak a kampányhoz.