Operation Dragon Whistle
A Seqrite Labs kutatása szerint az Operation Dragon Whistle kampány mögött az UNG0002 nevű, korábban nem dokumentált kiberkémkedő csoport állhat, amely elsősorban kínai akadémiai és kutatóintézeti célpontokat támadott. A művelet különösen figyelemre méltó, mert a támadók rendkívül hiteles, intézményi témájú csalikat – például egyetemi dokumentumokat, hallgatói önéletrajzokat és kutatási anyagokat – használtak spear-phishing kampányaik során.
A támadási lánc jellemzően ZIP-fájlokkal indult, amelyek kihasznált LNK fájlokat, VBScript komponenseket és PowerShell-alapú loader mechanizmusokat tartalmaztak. A cél az volt, hogy a felhasználók legitim dokumentumnak vagy akadémiai pályázati anyagnak higgyék a fájlokat. A kampány során a támadók többlépcsős fertőzési láncot alkalmaztak, amely végül saját fejlesztésű RAT-eket – például Shadow RAT, INET RAT és Blister DLL implantátumokat – telepített az áldozati rendszerekre.
A Seqrite szerint az UNG0002 egyik legfontosabb sajátossága a folyamatos technikai evolúció. A korai kampányokban még főként Cobalt Strike és Metasploit eszközöket használtak, később azonban áttértek saját malware-ekre és DLL sideloading technikákra. A támadók legitim Windows komponenseket – például rasphone.exe és Node-Webkit binárisokat – használtak rosszindulatú DLL-ek betöltésére, ami jelentősen megnehezítette a detekciót.
A kutatás kiemeli a ClickFix technika használatát is. Ennek során hamis CAPTCHA vagy intézményi hitelesítési oldalak jelentek meg, amelyek arra vették rá az áldozatokat, hogy saját maguk futtassanak PowerShell parancsokat. Ez a módszer különösen veszélyes, mert megkerüli a hagyományos exploit-detekciós logikát, hiszen maga a felhasználó hajtja végre a káros műveletet.
A célpontok között kínai és hongkongi egyetemek, kutatóintézetek, mérnöki és technológiai szervezetek szerepeltek, de a kampány érintette a védelmi, energetikai és szoftverfejlesztő szektort is. A Seqrite szerint az operáció egyértelműen hírszerzési fókuszú volt: a támadók hosszú távú hozzáférések kiépítésére, dokumentumlopásra és kutatási információk megszerzésére törekedtek.
A kutatók nagy bizonyossággal délkelet-ázsiai eredetű csoportnak tartják az UNG0002-t, ugyanakkor hangsúlyozzák, hogy a szereplők tudatosan más APT-csoportok technikáit imitálják az attribúció megnehezítése érdekében. Az akadémiai és kutatási szektor egyre fontosabb célponttá válik az állami hátterű kiberkémkedési műveletekben, különösen technológiai és geopolitikai versenyhelyzetekben.
