FamousSparrow
Az ESET biztonsági kutatói elemezték a FamousSparrow nevű, Kínához köthető APT (Advanced Persistent Threat) csoport tevékenységét, amely továbbra is aktív, és fejlettebb eszközkészlettel rendelkezik, mint korábban gondolták. A csoport legalább 2019 óta folytat kiberkémkedési tevékenységet, és korábban főként szállodákat, kormányzati szerveket, nemzetközi szervezeteket, mérnöki vállalatokat és ügyvédi irodákat vett célba. Az új felfedezések során két, korábban nem dokumentált verzióját azonosították a csoport által használt SparrowDoor backdoor programnak.
A vizsgálat során kiderült, hogy a csoport kompromittált egy amerikai pénzügyi szektorban tevékenykedő kereskedelmi csoportot és egy mexikói kutatóintézetet. Az új SparrowDoor verziók jelentős előrelépést mutatnak a korábbiakhoz képest, különösen a kódminőség és az architektúra terén. Az egyik új verzió moduláris felépítésű, ami nagyobb rugalmasságot biztosít a támadók számára. Emellett először figyelték meg, hogy a FamousSparrow csoport a ShadowPad nevű, kizárólag Kínához köthető fenyegetési szereplők által használt hátsó ajtós programot alkalmazta.
A kutatók további tevékenységeket is azonosítottak a csoport részéről 2022 és 2024 között, többek között egy hondurasi kormányzati intézmény ellen irányuló támadást. Ezek az eredmények rávilágítanak arra, hogy a FamousSparrow csoport folyamatosan fejleszti eszközkészletét és továbbra is aktív fenyegetést jelent különböző szektorokban világszerte.
Az ESET FamousSparrow néven követi a csoportot, más fenyegetéselemzők Salt Typhoon – Microsoft, GhostEmperor – Kaspersky, UNC2286 – Mandiant, Earth Estries – Trend Micro követik a csoport tevékenységét, vagy önálló csoportként, de jelentős átfedéssel.
