Az XDigo malware a Windows LNK hibáját használja ki a kelet-európai kormányzatoknál
A HarfangLab kutatói felfedezték az XDigo nevű Go alapú rosszindulatú programot, amelyet 2025 márciusában kelet-európai kormányzati szervek ellen irányuló kibertevékenységek során használtak. A támadási láncok állítólag Windows parancsikonfájlok (LNK) gyűjteményét használták ki egy többlépcsős eljárás részeként a kártevő telepítéséhez – közölte a vállalat. A HarfangLab részletes elemzést nyújt az XDigo-ról, amit az XDSpy fenyegető szereplőnek tulajdonítanak.
Az XDSpy 2011-től működik, azonban csak 2020 elején azonosították az ESET kutatói, azelőtt nagyrészt észrevétlenül működött. Az XDSpy elsősorban kelet-európai kormányzati szerveket céloz meg, és nem mutat kapcsolatot ismert APT csoportokkal, sem a kód, sem az infrastruktúra, sem a célpontok tekintetében. Az ESET közzétételét követő években az XDSpy tevékenységei nem kaptak nagy publicitást a nyugati kiberbiztonsági vállalatok vagy közösségek részéről, szinte kizárólag orosz és kínai vállalatok jelentéseiben jelent csak meg.
2025. március 18-án a Trend Micro arról számolt be, hogy államilag támogatott csoportok tömegesen kihasználnak egy zero day sérülékenységet a Microsoft Windows LNK-kban, hogy kiberkémkedési kampányokat folytassanak. Az általuk ZDI-CAN-25373-nak nevezett sérülékenység lehetővé teszi a Windows felhasználói felületén végrehajtott parancsok elrejtését speciálisan kialakított parancsikonfájlokba. Ebből indult ki a HarfangLab elemzése.
Az XDigo a Kaspersky által 2023 októberében részletesen ismertetett kártevő („UsrRunVGA[.]exe”) újabb verziója. Az XDigo egy olyan stealer, amely képes fájlokat és a vágólap tartalmát begyűjteni , valamint képernyőképeket rögzíteni. Támogatja továbbá a távoli kiszolgálóról HTTP GET-kéréseken keresztül lekérdezett parancs vagy bináris állomány végrehajtását. Az adatokat HTTP POST kéréseken keresztül szivárogtatja ki.
A HarfangLab elemzése szerint egy belarusz célpont kapcsolatban állt a belarusz kormánnyal, és valószínűleg a gazdasági és regionális fejlesztési politikára vagy kezdeményezésekre összpontosított. A megcélzott szervezet profilja összhangban van az XDSpy múltbeli törekvéseivel a kelet-európai és különösen a belarusz kormányzati szervek iránt. A korábban bejelentett kampányok elsősorban kormányzati szerveket céloztak, beleértve a hadseregeket, külügyminisztériumokat és magáncégeket Kelet-Európában és a Balkánon. A bejelentett korábbi célpontok között pénzügyi intézmények, energia-, kutatási és bányászati szektorok szerepeltek Belaruszban, Moldovában, Oroszországban, Szerbiában és Ukrajnában.
