A Charon ransomware közel-keleti szervezeteket vesz célba
A Trend Micro kutatói szerint egy újonnan azonosított, Charon névre keresztelt ransomware került bevetésre a közel-keleti közszférát és légiközlekedési szervezeteket érintő kibertámadásokban, amelyek bizonyos hasonlóságokat mutatnak egy Kínához kapcsolódó kiberkémkedési csoport tevékenységével.
A Trend Micro 2025. augusztus 12-én közzétett jelentése szerint a Charon APT-típusú képességekkel rendelkezik. A fájlok titkosítása előtt a ransomware letiltja az antivírus- és egyéb védelmi szolgáltatásokat, törli a biztonsági mentéseket és kiüríti a lomtárat, hogy megnehezítse a helyreállítást. A személyre szabott váltságdíj követelés tartalmazza a szervezet nevét, a titkosított adatok listáját és a fizetési utasításokat – ez inkább célzottságra utal, mint a széles körű, opportunista célokra.
A a Trend Micro szerint a kampány mögött álló csoport hasonló módszereket alkalmazott, mint a kínai kapcsolatokkal rendelkező Earth Baxia csoport, amely az ázsiai-csendes-óceáni térség kormányzati szervezetei elleni kibertevékenységéről ismert.
A Trend Micro által elemzett incidensben megfigyelt támadási lánc DLL-sideloadingot használ a Charon ransomware payload végrehajtásának megkönnyítésére. A támadó a behatolást egy legitim Edge.exe bináris fájl végrehajtásával kezdeményezi, amelyet visszaélésszerűen használ egy msedge.dll nevű, más néven „SWORDLDR” rosszindulatú DLL sideloadingjához. Ez a loader felel a beágyazott ransomware payload dekódolásáért és egy újonnan létrehozott svchost.exe folyamatba való beillesztéséért. Ez a technika lehetővé teszi a rosszindulatú program számára, hogy legitim Windows-szolgáltatásnak álcázza magát, megkerülve a szokásos végpontvédelmi eszközöket.
