Candiru spyware infrastruktúrája
Az Insikt Group kutatói új infrastruktúrát fedeztek fel, amelyet feltehetően a Candiru nevű spyware gyártó használ Windows malware-ek segítségével számítógépek támadására. A 2025. augusztus 4-én közzétett kutatás nyolc különböző, a DevilsTongue néven nyomon követett kémprogramhoz kapcsolódó operatív klasztert tárt fel. A jelentés szerint ezek közül öt nagy valószínűséggel aktív, köztük a Magyarországgal és Szaúd-Arábiával kapcsolatos klaszterek.
Ez az infrastruktúra magában foglalja mind a Candiru DevilsTongue kémprogramok telepítéséhez és irányításához valószínűleg használt komponenseket, mind a kémprogramok üzemeltetői által használt magasabb szintű infrastruktúrát – áll a jelentésben.
A Magyarországhoz és Szaúd-Arábiához kapcsolódó aktív klaszterek mellett a kutatók egy másik, Indonéziához kapcsolódó klasztert is találtak, amely 2024 novemberéig aktívnak tűnt.
A kutatók nem tudták megállapítani, hogy az Azerbajdzsánhoz kapcsolódó két további klaszter továbbra is aktív-e – áll a jelentésben.
A DevilsTongue nevet a Microsoft adta a Windows kémprogramnak. A Recorded Future vezető fenyegetéskutatója, Julian-Ferdinand Vögele szerint a nyilvánosság csak korlátozott mértékben tudósít a program teljes körű telepítési módszereiről. Vögele azonban elmondta, hogy a kiszivárgott anyagokból kiderült, hogy „elméletileg” rosszindulatú linkeken, weaponized fájlokon, man-in-the-middle támadásokon és Windows-eszközökhöz való fizikai hozzáférésen keresztül is terjeszthető. A DevilsTongue-ot mind a támadók által ellenőrzött URL-eken keresztül, például spearphishing e-mailekben, mind pedig stratégiai webhelyek kompromittálásán keresztül, úgynevezett watering hole támadásokon keresztül terjesztették, amelyek általában a webböngészők sérülékenységeit használják ki.
Az Insikt Group egy új szervezetet is felfedezett a Candiru vállalati hálózatán belül, amely úgy tűnik, hogy akkor jött létre, amikor a Candiru eszközeit az amerikai Integrity Partners befektetési alap vásárolta meg. A jelentés az új szervezetet „Integrity Labs Ltd. nevű magán izraeli vállalatként” azonosítja.
