ShadowSilk adatlopás kampány

A Group-IB friss jelentése egy ShadowSilk nevű, kifinomult kibertámadó csoportról szól, mely legalább 2023 óta aktív. A ShadowSilk csoport célpontjai közé Közép-Ázsia és az ázsiai-csendes-óceáni térség kormányzati szervei tartoznak. A szervezet elsősorban adatlopásra specializálódott, több mint 35 dokumentált áldozattal. A kampány hátterében a korábban ismert YoroTrooper kollektíva állhat, ugyanakkor az elemzések új eszköztárat, infrastruktúrát és üzemeltetőket tártak fel, köztük oroszul és kínaiul beszélő hackereket, ami árnyaltabb képet fest a fenyegetés természetéről. A támadók különféle eszközöket – például Cobalt Strike, Metasploit, Telegram-botok, valamint kínai fejlesztésű webshell-ek – alkalmaznak, melyek lehetővé teszik a célzott rendszerek kompromittálását, tartós jelenlét fenntartását és érzékeny adatok távoli kinyerését.

A kampány részletei megerősítik, hogy a ShadowSilk alapos előkészítéssel, nyílt forrású sebezhetőségeket (pl. CVE-2018-7600, CVE-2024-27956), dark weben vásárolt C2 paneleket (JRAT, Morf Project), valamint testreszabott malware-eket használ. A támadók több esetben saját gépeiken is tesztelték a kódokat, továbbá képernyőképeken keresztül kínai nyelvű környezetet és kormányzati oldalak látogatását is dokumentálták. A fertőzött gépekről ellopott adatokat ZIP-archívumba tömörítve, Telegramon vagy rejtett weboldalakon keresztül exportálták. A csoport 2025 júniusában új infrastruktúrával tért vissza, így a fenyegetés továbbra is aktív.

(forrás)