TA415 hamis meghívókkal célozza az USA–Kína szakértőket
2025 július–augusztusában a kínai állami hátterű TA415 (más néven APT41/Brass Typhoon/Wicked Panda) célzott adathalász kampányokat folytatott amerikai kormányzati, agytröszt- és egyetemi célpontok ellen, elsősorban az USA–Kína gazdasági kapcsolataival foglalkozó szereplőket megcélozva. A támadók a Kínai Kommunista Párttal folytatott stratégiai versenyről szóló kongresszusi bizottság elnökének személyét és a US-China Business Councilt utánozva küldtek meghívókat és „tervezet véleményezésére” szóló kéréseket. A levelek jelszóval védett archívumokra mutattak (Zoho WorkDrive, Dropbox, OpenDrive), az üzenetek küldéséhez rendszeresen a Cloudflare WARP VPN-t használták, míg a parancs- és vezérléshez legitim szolgáltatásokat – Google Sheets, Google Calendar, valamint VS Code Remote Tunnels – vettek igénybe, hogy beleolvadjanak a normál forgalomba.
A fertőzési lánc egy LNK fájllal indult, amely egy rejtett MACOS mappában lévő batch szkriptet futtatott, majd a WhirlCoil nevű, erősen obfuszkált Python-betöltőt indította. Ez letöltötte a VS Code CLI-t, ütemezett feladatot hozott létre (pl. „GoogleUpdate”, „MicrosoftHealthcareMonitorNode”) perzisztenciához – admin jog esetén SYSTEM szinten –, és GitHub-hitelesítéssel VS Code Remote Tunnelt nyitott a gépre. A rendszer- és felhasználói információkat, valamint a tunnelhez szükséges verifikációs kódot egy naplózószolgáltatásnak (pl. requestrepo[.]com) küldte el, ami a támadóknak hagyományos kártevő telepítése nélkül biztosított tartós távoli hozzáférést és parancsvégrehajtást. A Proofpoint megfigyelése szerint ez a megközelítés 2024 augusztus–szeptemberében váltotta le a korábbi „Voldemort” hátsó kaput, és iparági célpontok (űripar, vegyipar, biztosítás, gyártás) ellen is bevetették.
A TA415 a Chengdu 404 fedőnevű vállalati struktúrához és a kínai hírszerzési ökoszisztémához köthető. A Proofpoint a mostani műveleteket nagy biztonsággal tulajdonítja a csoportnak, és úgy értékeli, hogy elsődleges céljuk az USA–Kína gazdasági viszonyának alakulására vonatkozó hírszerzési információk gyűjtése.
(forrás)
