Cloud Atlas aktivitás
A Kaspersky elemzése szerint a Cloud Atlas APT-csoport 2025 második felében és 2026 elején is aktív maradt, elsősorban orosz és belarusz állami, diplomáciai és stratégiai célpontok ellen. A csoport új malware-komponenseket és fejlettebb rejtőzködési technikákat vezetett be, miközben továbbra is spear-phishing kampányokra és Microsoft Office exploitokra építette kezdeti hozzáférési műveleteit.
A fertőzési lánc jellemzően kártékony Word dokumentumokkal indul, amelyek régebbi Equation Editor sérülékenységeket használnak. A dokumentumok távoli template-eket és RTF komponenseket töltenek be, majd HTA és VBS payloadokat futtatnak. A támadók többlépcsős loader architektúrát alkalmaznak, amelyben a VBShower és PowerShower komponensek szolgálnak elsődleges backdoorként és scriptfuttató keretrendszerként.
A kampány egyik legfontosabb újdonsága a VBCloud és PowerCloud modulok megjelenése. Ezek cloud-alapú C2 kommunikációt használnak, például OpenDrive, MyDrive vagy WebDAV infrastruktúrákon keresztül. A malware-ek RC4-alapú titkosítást, PowerShell scriptláncokat és memóriában futó komponenseket alkalmaznak, hogy minimalizálják a detekciós lábnyomot. A Cloud Atlas emellett ReverseSocks, SSH tunneling és Tor kapcsolatokat használ tartós hozzáférések kialakítására és rejtett pivotolásra.
A Kaspersky szerint a csoport egyre inkább low-noise működésre törekszik. A klasszikus malware-funkciók helyett legitim adminisztrációs eszközöket, PowerShellt, scheduled taskokat és cloud szolgáltatásokat használnak. A cél elsősorban hosszú távú kiberkémkedés, dokumentumlopás, kommunikációs adatok megszerzése és előretolt hozzáférések fenntartása érzékeny intézményekben.
