Activitatea a fost observată din decembrie 2024.
- Neursite, un backdoor modular;
- NeuralExecutor, un implant bazat pe .NET;
- Cobalt Strike, un framework de testare a penetrării adesea folosit de actorii amenințărilor.
Au fost identificate mostre care comunică atât cu servere externe de comandă și control, cât și cu sisteme interne compromise. NeuralExecutor este conceput pentru a livra payload-uri suplimentare. Implantul suportă mai multe metode de comunicare și poate încărca și executa assembly-uri .NET primite de la serverul său de comandă și control.
În mostrele observate de GReAT, numele funcțiilor au fost înlocuite cu șiruri care conțin caractere chirilice, aparent introduse intenționat de atacatori. Astfel de artefacte necesită o evaluare atentă în timpul atribuirii, deoarece pot funcționa ca ,,false flags" menite să inducă în eroare analiștii.
Pe baza tacticilor, tehnicilor și procedurilor observate, Kaspersky evaluează cu un grad scăzut de încredere că această campanie este probabil asociată unui actor de limbă chineză.
La începutul anului 2024, cercetătorii Kaspersky detectaseră deja activitatea PassiveNeuron și descriseseră campania ca prezentând un nivel ridicat de sofisticare. Mai multe informații sunt disponibile pe Securelist.com
Kaspersky este o companie globală de securitate cibernetică și confidențialitate digitală, fondată în 1997.
