Újabb Gokcpdoor-trükkök
A támadók a frissített Gokcpdoor-variánst a CVE-2025-61932 kihasználásával telepítették, amely már lecserélte a KCP-protokollt, és multiplexált C2-kommunikációt használ. Kétféle változat bukkant fel: egy szerver, amely a 38000-es és 38002-es portokat figyeli, és egy kliens, amely előre megadott címre csatlakozik, és hátsóajtóként működik. A végső kártékony kódot minden esetben az OAED Loader tölti be, majd legitim programokba injektálja, hogy biztosítsa a védelem kikerülését.
Professzionális adatlopás
A hackerek gyakran használták a goddi Active Directory dumpert, a Távoli asztalt (Remote Desktop) és a 7-Zipet, hogy az ellopott adatokat csomagolják és továbbítsák. Az ellopott fájlokat felhőalapú tárhelyszolgáltatásokra – így az io-t, a LimeWire-t vagy a Piping Servert használva – juttatták ki az áldozatok rendszeréből.
Megelőzés: frissítés vagy semmi
A Motex már 2025. október 20-án kiadta a hibajavítást, az amerikai hatóságok pedig sürgetik a szervezeteket, hogy november 12-ig mindenképp telepítsék azt. Más védekezési lehetőség jelenleg nincs: egyedül a naprakészítés véd a támadással szemben.
