Kínai kibertevékenység a szerb kormányzat ellen

Editors' Pick

A StrikeReady kiberbiztonsági cég 2025. október 3-án közzétett jelentése szerint egy Kínához kapcsolódó kiberszereplő kiberkémkedést hajtott végre többek között egy szerb kormányzati szerv ellen, amely a légiközlekedést felügyeli. A kampány szeptember végén kezdődött, amikor egy szerb kormányhivatalnak adathalász e-maileket küldtek. A StrikeReady hasonló rosszindulatú tevékenységeket azonosított Magyarországon, Belgiumban, Olaszországban és Hollandiában.

Azok az áldozatok, akik rákattintottak a csaló e-mailekben található linkekre, hamis Cloudflare-hitelesítési oldalakra kerültek átirányításra. A kampányban használt csali dokumentumok között voltak olyan fájlok, amelyek látszólag európai kormányzati ügyekkel foglalkoztak, például a szerbiai Nemzeti Közigazgatási Akadémia tanulmányi terve, az Európai Bizottság ülésének napirendje és meghívó az Európai Politikai Közösség csúcstalálkozójára.

A StrikeReady szerint a támadók a Sogu, PlugX és Korplug malware családokat használták – ezeket az eszközöket régóta szinte kizárólag a kínai állam által támogatott hackerek használják. Bár a kampányt nem tulajdonították egy konkrét csoportnak, a kutatók úgy vélik, hogy az azonosítot tevékenységek a Kínával összefüggő kémtevékenységekhez kapcsolódnak. A StrikeReady szerint hasonló eszközöket és taktikákat alkalmaztak más, Kínához kapcsolódó műveletekben is. Augusztusban a Google kutatói felfedeztek egy kémkedési kampányt, amelyet a kínai UNC6384 csoportnak tulajdonítottak, és amely délkelet-ázsiai diplomatákat vett célba a Sogu segítségével, hogy adatokat lopjon és távoli parancsokat hajtson végre.

Az év elején az amerikai hatóságok több ezer fertőzött amerikai számítógépről távolították el a PlugX-et, és azzal vádolták a Mustang Panda csoportot, hogy Peking nevében információkat lopott vele.

Az ne ismert, hogy a StrikeReady által jelentett legutóbbi kampány során milyen információkhoz fértek hozzá a kiberszereplők és hogy a támadók elérték-e céljaikat.

Forrás