Jewelbug kampányok
A Security.com (Symantec) beszámolója szerint a Jewelbug nevű kínai APT-csoport (REF7707, CL-STA-0049, Earth Alux) most már Oroszországot is célba vette, ami váratlan fejlemény — korábban a kínai és orosz kiberműveletek ritkán álltak szemben egymással.
A támadók egy orosz IT-szolgáltató hálózatát vették célba, és 2025 első felében – januártól májusig – folyamatos jelenlétet tartottak fenn. A célpont hálózaton hozzáfértek a forráskód-tárolókhoz és build rendszerekhez, ami arra utal, hogy a támadás célja beszállítói lánc vagy software supply-chain támadás lehetett. Az exfiltráció érdekében a támadók Yandex Cloud szolgáltatást használtak – választásuk valószínűleg azért esett erre, mert Oroszországban megbízható szolgáltatásként értékelik, így kevésbé kelthet feltűnést.
A technikai jelek alapján a támadók álnéven 7zup.exe nevű fájlt helyeztek el — ez gyakorlatilag átnevezett Microsoft cdb.exe (Console Debugger) program volt, amelyet shell-kód futtatására, jogosultságnövelésre és biztonsági eszközök kiiktatására is használtak. Emellett credential dumpingot is végeztek, ütemezett feladatokat (scheduled tasks) hoztak létre perzisztencia érdekében, illetve megtisztították a Windows eseménynaplókat, hogy eltüntessék a nyomokat.
Jewelbug egy másik visszatérő kampányban Dél-Amerikai kormányzati szervezetet ért el, ahol a támadók mostanra egy új, fejlesztés alatt álló backdoort is bevetettek. Ezt a rosszindulatú kódot Microsoft Graph API és OneDrive szolgáltatáson keresztül konfigurálták kommunikációra (C2 funkcióként), hogy a parancsforgalom észrevétlenebb maradjon. A backdoor fájlstruktúrája képes fájllisták feltöltésére, rendszerinformáció lekérésére, és a behatolt gép adatait továbbítja a C:\Users\Public\Libraries~ rejtett mappába.
Az eset azért különösen figyelemre méltó, mert Kína és Oroszország hagyományosan nem támadták egymást ilyen módon — az, hogy egy kínai APT most orosz célt választott, arra utalhat, hogy a geopolitikai viszonyok és technológiai érdekek bonyolultabbá váltak. Jewelbug modellje ráadásul mutatja, hogy a modern kiber-kémtevékenység nemcsak a célzott hálózatban mozog, hanem igyekszik beszállítói láncokon keresztül is eljutni a többi célig (pl. via build-rendszerek).
