PurpleHaze és ShadowPad
A SentinelOne saját eszközeivel azonosított egy 2024–2025 között zajló kétfázisú kínai hátterű kiberkémkedési kísérletet, ami rávilágít a modern ellátási láncokat érintő kiberfenyegetések komplexitására. Az első, a PurpleHaze hullám 2024 szeptember–októberben zajlott, jellemzően Ivanti Cloud és Check Point tűzfalakon keresztül történt behatolás. A támadók internetre kilógó 443-as portokat pásztáztak, ál-címeket regisztráltak és a GOREshell backdoor használatával próbáltak belépni a SentinelOne infrastruktúrába és dél-ázsiai kormányzati szervezetet fertőztek meg ShadowPad backdoorral.
A második eredetileg APT41-hez kapcsolódó ShadowPad kampány 2024 júniusa és 2025 márciusa között zajlott. Ennek során egy IT-logisztikai szolgáltatón keresztül próbálták bejuttatni a ShadowPad backdoor kódot obfuszkált PowerShell szkripttel, ami elindított egy restartot, majd telepítették a nyílt forrású, Nimbo‑C2-re épülő kémmodult. Ez lehetővé tette képernyőmentések készítését, PowerShell-parancsok futtatását, fájlkezelést és UAC kijátszást, valamint titkos archívumokkal bizalmas adatok kiszivárogtatását.
Egyértelműen látszik, hogy a támadás nem egyszeri behatolás volt, hanem jól szervezett, többlépcsős folyamat. A támadások ellátási lánc sebezhetőségeket és public cloud eszközöket használva több lépésben jutottak mély belső rendszerekhez. A GOREshell, ShadowPad és THC‑alapú eszközök együttese egy automatizált, de emberi operációs modell rétegzett, kiválóan elterjedő célzott támadási struktúrát alkot.
