Operation SouthNet
A Hunt.io által dokumentált Operation SouthNet egy APT SideWinderhez kötött aktív kampány, amely különösen a dél-ázsiai tengerészeti és kikötői szektort és az azt kiszolgáló állami szereplőket célozza, a nyomok szerint a művelet fő célterületei Pakisztán és Sri Lanka, de kapcsolódó aktivitásokat találtak Bangladesben, Nepálban és Mianmarban is.
A támadók módszere egyszerre pragmatikus és skálázható, ingyenes hosztingplatformokat használnak hamis Outlook/Zimbra bejelentkezőoldalak és secured file portálok telepítésére, valamint fegyverzetként szolgáló dokumentumok közzétételére; az így gyűjtött hitelesítő adatokat közvetlen POST kérésekkel exfiltrálják, és nyitott könyvtárakban tárolt malware-mintákat használnak további betörésekhez.
A kampány operatív jellemzői közé tartozik a magas domain-forgalom és gyors váltás a régi SideWinder C2-k újrafelhasználása, valamint célzott csalik — például miniszteri látogatások, védelmi beszerzések vagy kikötői dokumentumok —, amelyek növelik a kifejezetten kormányzati és katonai közönség megnyitási arányát.
