Redfly: Létfontosságú infrastruktúrák célpontban
A Symantec kutatói felfedték, hogy a Redfly hackerei továbbra is támadják a nemzeti kritikus infrastruktúrákat, ami világszerte aggodalmat kelt a kormányokban és a létfontosságú infrastruktúra üzemeltető szervezetekben. A Symantec Threat Hunter Team bizonyítékokat talált arra vonatkozóan, hogy a Redfly a ShadowPad trójai segítségével kompromittálta a nemzeti hálózatot egy ázsiai országban az év elején hat hónapig. A támadóknak sikerült hitelesítő adatokat ellopniuk és több számítógépet is feltörni a szervezet hálózatán.
A ShadowPad egy moduláris távelérési trójai (RAT), amelyet a Korplug/PlugX trójai utódja és a deepweben árusítják. Azonban annak ellenére, hogy eredetileg nyilvánosan elérhető eszköz volt, a hírek szerint csak nagyon rövid ideig adták el nyilvánosan néhány vásárlónak. Azóta szorosan összefügg a kémszereplőkkel.
A kutatók hozzátették, hogy bár ismert, hogy a ShadowPad-et több APT csoport is használja, a közelmúltban a nemzeti áramhálózatot célzó kampányban használt azonosított eszközök és infrastruktúra átfedésben van a korábban jelentett támadásokkal, amelyek az APT41-hez köthetők (Brass, Typhoon, Wicked Panda, Winnti és Red Echo).
A Symantec megosztotta az azonosításhoz szükséges mutatókat.