Ki volt a célpont és mi történt pontosan?
A Shadow Campaigns tevékenység elsősorban kormányzati minisztériumokra, rendészeti szervekre, határvédelemre, pénzügyi, kereskedelmi, energetikai, bányászati, bevándorlási és diplomáciai ügynökségekre összpontosított. A Unit 42 kutatói megerősítették, hogy a támadások során sikeresen feltörtek legalább 70 kormányzati és kritikus infrastruktúra-szervezetet 37 országban. Ez azonban csak a jéghegy csúcsa volt. Ezek között szerepelnek kereskedelempolitikával, geopolitikai kérdésekkel és választásokkal foglalkozó szervezetek Amerikában, több európai állam minisztériumai és parlamentjei, valamint Ausztrália Pénzügyminisztériuma és tajvani kormányzati és kritikus infrastruktúra.
Melyik országok voltak a célpontok?
A célba vett vagy feltört szervezetek listája kiterjedt, és bizonyos régiókra összpontosult, meghatározott időzítéssel, amelyet konkrét események mozgattak. A kutatók szerint a 2025. októberi amerikai kormányzati leállás során a fenyegetőcsoport fokozott érdeklődést mutatott Észak-, Közép- és Dél-Amerika országai iránt. Jelentős felderítési tevékenységet fedeztek fel a hondurasi kormányzati infrastruktúra legalább 200 IP-címe ellen, mindössze 30 nappal a nemzeti választások előtt, miközben mindkét jelölt hajlandóságot mutatott a Tajvannal való diplomáciai kapcsolatok helyreállítására.
A Unit 42 értékelése szerint a fenyegetőcsoport feltörte Brazília Bányászati és Energiaügyi Minisztériumát, egy bolíviai bányászathoz kapcsolódó szervezetet, Mexikó két minisztériumát, egy panamai kormányzati infrastruktúrát, valamint kormányzati szervezeteket Ciprusban, Csehországban, Németországban, Görögországban, Olaszországban, Lengyelországban, Portugáliában és Szerbiában. Elképzelhető, hogy a TGR-STA-1030/UNC6619 SSH-kapcsolatot is megkísérelt létrehozni az ausztrál Pénzügyminisztérium, Afganisztán Pénzügyminisztériuma és Nepál Miniszterelnöki Hivatalának infrastruktúrájával.
Hogyan történtek a támadások?
A korai műveletek erősen személyre szabott adathalász e-mailekre támaszkodtak, amelyeket kormánytisztviselőknek küldtek. Az üzenetekben linkek vezettek rosszindulatú archívumokhoz a Mega.nz tárhelyszolgáltatáson. A tömörített fájlok egy Diaoyu nevű rosszindulatú betöltőt és egy nulla bájtos, pic1.png nevű PNG-fájlt tartalmaztak. A kutatók megállapították, hogy a Diaoyu betöltő Cobalt Strike payloadokat és a VShell keretrendszert tölti le bizonyos feltételek mellett, amelyek az elemzés elkerülését szolgáló ellenőrzéseknek felelnek meg. Ennek részeként a betöltő megvizsgálja, hogy fut-e biztonsági termék, például Kaspersky, Avira vagy Bitdefender.
Új Linux rootkit felfedezése
A TGR-STA-1030/UNC6619 eszköztára kiterjedt, és olyan webshelleket tartalmaz, mint a Behinder, a Godzilla és a Neo-reGeorg. A kutatók azonban felfedeztek egy ShadowGuard nevű egyedi Linux kernel eBPF rootkitet is. Az eBPF hátsó ajtókat rendkívül nehéz felismerni, mert teljes mértékben a megbízható kerneltérben működnek. A ShadowGuard kernel szinten rejti el a rosszindulatú folyamatinformációkat, és syscall-elfogással legfeljebb 32 PID-t rejt el a standard Linux megfigyelőeszközök elől. Emellett elrejtheti az swsecret nevű fájlokat és könyvtárakat is.
