A Tropic Trooper a közel-keleti kormányzati szervek ellen kémkedik
A Tropic Trooper (KeyBoy és Pirate Panda néven is ismert) egy 2011 óta aktív APT csoport. Ez a csoport hagyományosan olyan szektorokat célzott meg, mint a kormányzat, az egészségügy, a közlekedés és a csúcstechnológiai iparágak Tajvanon, a Fülöp-szigeteken és Hongkongban. A Kaspersky közelmúltban végzett vizsgálata során kiderült, hogy 2024-ben 2023 júniusától kezdve kitartó kampányokat folytattak egy közel-keleti kormányzati szervezet ellen. A csoport TTP-jének a Közel-Kelet kritikus kormányzati szervezetei, különösen az emberi jogi tanulmányokhoz kapcsolódó szervezetek célzása új stratégiai lépést jelent számukra. Ez segíthet a fenyegetésekkel foglalkozó hírszerző közösségnek jobban megérteni ennek a fenyegető szereplőnek az indítékait.
A fertőzésre 2024 júniusában figyeltek fel, amikor a telemetria ismétlődő riasztásokat adott egy új China Chopper web shell variánsra (amelyet számos kínai nyelvű szereplő használ), amelyet egy nyilvános webszerveren találtak. A szerver egy nyílt forráskódú, Umbraco nevű, C# nyelven írt tartalomkezelő rendszert (CMS) tárolt. A megfigyelt web shell komponens az Umbraco CMS .NET moduljaként volt lefordítva. Továbbá azonosítottak olyan új DLL keresési sorrendet eltérítő implantátumokat, amelyek egy legitim, sérülékeny futtatható programból töltődnek be. Ez a támadási lánc a Crowdoor betöltőprogramot próbálja betölteni, amely félig az ESET által részletezett SparrowDoor backdoor után kapta a nevét. A támadás során blokkolták az első Crowdoor betöltőt, ami arra késztette a támadókat, hogy egy új, korábban nem ismert változatra váltsanak, amely szinte ugyanolyan hatást váltott ki. Ezt a tevékenységet nagy valószínűséggel a Tropic Trooper néven ismert, kínaiul beszélő fenyegető szereplőnek tulajdonítja a Kaspersky, mivel a Tropic Trooper legutóbbi kampányai során jelentett technikák átfedést mutatnak.
