ShadowSyndicate
A Group‑IB a ShadowSyndicate hálózat új irányait és viselkedését vizsgálja, amely különböző kibertámadási kampányokhoz kötődő szerverekből álló cluster-ként működik. Ezt a tevékenységi klasztert azonosításakor a kutatók azonos SSH fingerprint-eket használtak, amelyek lehetővé tették, hogy több tucat szerver összeköttetését igazolják ugyanahhoz a csoporthoz kapcsolódóan. A korábbi vizsgálatokhoz képest most új, korábban nem dokumentált SSH-kulcsokat is azonosítottak, ami arra utal, hogy a ShadowSyndicate folyamatosan fejleszti és bővíti infrastruktúráját, miközben több szerveren is ugyanazokat a hozzáférési mintákat használja.
A ShadowSyndicate infrastruktúra nem csupán egyetlen szervercsoportot jelent, hanem legalább húsz, különböző C2 szerver számára használt hosztot foglal magában, amelyek különféle rosszindulatú eszközökhöz és kampányokhoz kapcsolódnak. Ezek között olyan ismert támadó-keretrendszerek szerepelnek, mint a Cobalt Strike, Metasploit, Havoc, Mythic vagy Sliver, valamint info-stealerek és további implantátumok, amit arra utal, hogy a ShadowSyndicate nem egyetlen típusú támadást indít, hanem változatos eszközökből és módszerekből álló repertoárt használ rendelkező infrastruktúrát üzemeltet.
A ShadowSyndicate tevékenysége összekapcsolható több ismert RaaS csoport és affiliate hálózat működésével, köztük olyanokkal, mint Cl0p, ALPHV/BlackCat, Black Basta, Ryuk és Malsmoke, ami arra utal, hogy az infrastruktúra különböző bűnözői szereplők kampányaihoz is hozzájárulhat. Bár a pontos szerepük még nem teljesen tisztázott, a kutatók szerint a viselkedésminták és eszközipari kapcsolódások arra utalnak, hogy a ShadowSyndicate inkább egy sokoldalú partner és szolgáltató lehet a kiberbűnözői ökoszisztémában, semmint egyetlen klasszikus támadó csoport.
