Operation TrueChaos
A Check Point Research által ismertetett Operation TrueChaos kampány egy zero-day alapú kiberkémkedési művelet, amely délkelet-ázsiai kormányzati célpontokat vett célba. A támadás alapja egy CVE-2026-3502 azonosítójú sérülékenység a TrueConf kliensben. A hiba az alkalmazás frissítési mechanizmusában található, ahol hiányzik a megfelelő integritás- és hitelesítés-ellenőrzés. Ennek következtében, ha a támadó kompromittálja az on-premises szervert, képes hamis frissítéseket terjeszteni az összes kapcsolódó kliens felé, amelyek automatikusan lefutnak a végpontokon.
A támadási lánc kulcsa tehát nem egyedi endpoint-exploit, hanem a központi bizalmi modell kihasználása. A kampány során a támadók először hozzáférést szereztek egy kormányzati TrueConf szerverhez, majd a legitim update csatornát weaponizálták. A felhasználók számára ez egy normál frissítésnek tűnt, miközben valójában rosszindulatú payload került telepítésre.
A telepített malware több lépcsőben működött. A dropper egy legitimnek tűnő executable-t és egy rosszindulatú DLL-t helyezett el, amely DLL sideloading technikával futott. Ezt követően a támadók egy fejlettebb post-exploitation eszközt, telepítettek, amely lehetővé tette a perzisztenciát, a laterális mozgást és a további payloadok letöltését.
A TTP-k alapján a művelet egyértelműen kiberkémkedési célú. A cél nem rombolás, hanem hosszú távú hozzáférés és információgyűjtés kormányzati hálózatokban. A kampány földrajzi fókusza és infrastruktúrája alapján a kutatók közepes bizonyossággal egy kínai kötődésű fenyegető szereplőhöz kötik az aktivitást.
A támadás nem a klasszikus peremvédelem ellen irányult, hanem a belső, megbízhatónak tekintett frissítési láncot használta támadási csatornaként. Ez tipikus trusted channel abuse és supply chain modell, ahol egyetlen központi pont kompromittálása tömeges fertőzést tesz lehetővé, anélkül hogy minden végpontot külön kellene támadni.
