Európai diplomatákat célzó kampány
A Zscaler’s ThreatLabz felfedezett egy gyanús PDF fájlt, amelyet 2024. január 30-án töltöttek fel a VirusTotal-ra Lettországból. Ez a PDF-fájl India nagykövetének meghívólevelének álcázza magát, amely a diplomatákat egy borkóstolóra invitálja. A PDF egy hamis kérdőívre mutató linket is tartalmazott, amely egy fertőzött webhelyen tárolt rosszindulatú ZIP-tömörített fájlra irányítja át a felhasználókat, ezzel elindítva a fertőzési láncot. A további fenyegetésvadászat során egy másik hasonló, 2023 júliusában Lettországból a VirusTotalra feltöltött PDF-fájlt fedeztek fel.
A Zscaler blogja részletes információt nyújt egy korábban nem dokumentált backdoorról, amelyet WINELOADER-nek neveztek el. Úgy vélik, hogy egy nemzetállami fenyegető szereplő hajtotta végre ezt a támadást, aki az India és az európai nemzetek diplomatái közötti geopolitikai kapcsolatok kihasználásában érdekelt. A támadást a nagyon alacsony volumen, valamint a rosszindulatú szoftverben és a C2 infrastruktúrában alkalmazott fejlett taktikák, technikák és eljárások (TTP-k) jellemzik. Bár ezt a támadást még nem tulajdonítoták egyetlen ismert APT-csoportnak sem, a támadási lánc különböző szakaszaiban használt, borral kapcsolatos téma és fájlnevek alapján SPIKEDWINE-nak nevezték el ezt a fenyegető szereplőt, és az ügy kivizsgálása folyamatban van.