Punishing Owl
A Positive Technologies egy viszonylag új, de feltűnő hacktivista csoport, a Punishing Owl tevékenységét és első ismert kibertámadását mutatja be, különösen Oroszország elleni irányultságával és módszereivel. 2025. decemberében a csoport nyilvánosságra hozta, hogy sikeresen kompromittáltak egy orosz állami biztonsági szerv hálózatát, ennek bizonyítására belső dokumentumokat és adatokat tettek elérhetővé egy saját DLS-oldalon és egy Mega.nz tárhelyen keresztül, miközben létrehoztak egy hacked.[REDACTED].ru aldomainnel működő megtévesztő webhelyet is, amelyet a kompromittált szervezet domainjének DNS-rekordjain keresztül irányítottak egy brazil szerveren működtetett infrastruktúrára. Ennek célja nem csak a kompromittált anyagok publikálása volt, hanem az is, hogy a hálózati útvonal-manipuláció és a hamis domain révén megtévesszék a felhasználókat és hosszabb ideig fenn tudják tartani jelenlétüket anélkül, hogy a védelmi csapatok gyorsan reagálhatnának.
A csoport ezt követően BEC-jellegű e-mail kampányt indított a kompromittált szervezet partnerei és ügyfelei ellen. Olyan üzeneteket küldtek, amelyekben arról tájékoztatták a címzetteket, hogy a hálózatot kompromittálták, és mellékelték a hamis domainre mutató linket. A levelek eredetinek tűntek, mivel a támadók ugyanarról a brazil szerverről küldték őket, de már a punishingowl@[REDACTED] feladóval, és később még úgy is adtak ki látszólagos belső megerősítő üzeneteket, hogy a feladót egy állami szervezet munkatársának álcázták. Az ilyen kommunikáció arra törekedett, hogy bizalmat ébresszen a címzettekben, és rávegye őket, hogy megnyissák a csatolt jelszóval védett ZIP-fájlokat, amelyben egy rejtett LNK fájl volt elrejtve.
A ZIP-fájlt megnyitó eszközön a LNK-indító PowerShell-parancsot futtatott, amely egy ZipWhisper nevű PowerShell-stílust töltött le a C2 szerverről, bloggereket utánzó domainről. Ez a stiler célzottan webböngészők adatait gyűjtötte, és a begyűjtött információkat ZIP-fájlokba csomagolva automatikusan továbbította a C2-szerverre. Érdekesség, hogy a szakértők arra is utalnak, hogy a stílus generálásához akár AI-alapú eszközöket is használhattak, mivel a kódban olyan metainformációk voltak, amelyek ezt sugallják.
