CloudScout – Evasive Panda eszközkészlet
Az ESET kutatói felfedeztek egy korábban nem dokumentált eszközkészletet, amelyet az Evasive Panda a felhőszolgáltatásokhoz való hozzáféréshez és azokból való adatszivárogtatásokhoz használ. Az ESET blogbejegyzése technikai elemzését nyújt a CloudScout-ról, egy olyan post-compromise eszközkészletről, amelyet az Evasive Panda 2022 és 2023 között egy kormányzati és egy vallási szervezet ellen használt Tajvanon. A CloudScout eszközkészlet az ellopott webes munkamenet-sütik kihasználásával képes adatokat lekérdezni különböző felhőszolgáltatásokból. A CloudScout egy bővítményen keresztül együttműködik az MgBot-tal, az Evasive Panda aláírt malware keretrendszerével. Az Evasive Panda (más néven BRONZE HIGHLAND, Daggerfly, vagy StormBamboo) egy kínai hátterű APT csoport, amely legalább 2012 óta működik. Az Evasive Panda célja a kiberkémkedés a Kína érdekeivel szemben álló országok és szervezetek ellen, például a tibeti diaszpóra függetlenségi mozgalmai, a tajvani és hongkongi vallási és tudományos intézmények, valamint a kínai demokrácia támogatói révén. A kiberszereplő kiberkémkedési műveletek olyan országokra is kiterjednek, mint Vietnam, Mianmar és Dél-Korea. Az ESET telemetria szerint a CloudScout két Tajvanra irányuló incidensben is megfigyelhető volt:
- 2022 májusában egy tajvani vallási intézmény hálózatát az MgBot és a Nightdoor segítségével támadták meg. Ebben az incidensben az MgBotot egy CloudScout modult telepítő plugin telepítésére használták.
- 2023 februárjában CloudScout modulokat és Nightdoor implantátumot észleltek egy feltételezett tajvani kormányzati szervnél.
Néhány hardcoded HTTP kérésben a Taipei Standard Time mint időzóna és zh-CN mint nyelvi csomagot azonosították. Mindkettő arra utal, hogy ezeket a mintákat tajvani felhasználók megcélzására készítették.
