Warp Panda kémkedése
A CrowdStrike kutatói tavaly óta figyelik a Warp Panda tevékenységét, és 2025 nyarán több, korábban amerikai technológiai, jogi és gyártócégeket célzó behatolást azonosítottak, amelyek mögött ez a csoport áll. Warp Panda elsőként az internethez közvetlenül kapcsolódó végponti eszközök sebezhetőségeit használta ki, hogy bejusson a szervezetek hálózatába — onnan pedig célzottan a virtualizációs rendszerek felé mozdult, ahol komoly hozzáférést szerzett.
A támadók több új rosszindulatú eszközt is bevetettek, a vCenter-hez illeszkedő JavaScript-web shell-t, a Brickstorm backdoort, valamint két új, Go-nyelvű implantot, a Junction és GuestConduit, amelyek ESXi hosztokon vagy virtuális gépeken futva biztosítják a titkos, rejtett kommunikációt, adatlopást, forgalomkezelést. Sok esetben a Warp Panda olyan láthatatlan technikákat alkalmazott, mint log-törlés, timestamp módosítás, vagy akár nem-nyilvántartott virtuális gépek létrehozása és leállítása, hogy elkerüljék a detektálást.
A Warp Panda klasszikus példája annak az új generációs cloud-conscious támadóknak, akik pontosan értik a virtualizált környezetek működését, és célzott, hosszú távú, rejtett hozzáférést teremtenek az infrastruktúrákhoz. Egy friss incidensben például sikerrel fértek hozzá Microsoft 365-höz, teljes levelezésit, cloud-tárolókat és belső dokumentumokat lopva el, miközben felhasználói munkamenetek újrahasznosításával kerültek be, mintha a jogos tulajdonos nyitotta volna meg a fiókot.
A CrowdStrike szakemberei szerint a Warp Panda célja valószínűleg hírszerzési jellegű, adatgyűjtés, érzékeny információk kinyerése, belső stratégiák feltérképezése, nem a gyors pénzügyi haszonszerzés. Emiatt a csoport viselkedése tükrözi az állami támogatással dolgozó APT-csoportokra jellemző műveleteket.
