Η νέα απειλή UNG0002
Η ομάδα UNG0002, γνωστή επίσης ως Unknown Group 0002, έχει στοχοποιήσει πολλούς τομείς στην Κίνα, το Χονγκ Κονγκ και το Πακιστάν, στο πλαίσιο μιας ευρύτερης καμπάνιας κυβερνοκατασκοπείας. Αυτή η ομάδα απειλών επιδεικνύει μια έντονη προτίμηση στη χρήση αρχείων συντόμευσης (LNK), VBScript και εργαλείων μετά την εκμετάλλευση όπως το Cobalt Strike και το Metasploit, ενώ χρησιμοποιεί έγγραφα-δόλωμα με θέματα CV για να παραπλανήσει τα θύματα.
Δύο μεγάλες καμπάνιες: Operation Cobalt Whisper και AmberMist
Η δραστηριότητα της UNG0002 περιλαμβάνει δύο σημαντικές καμπάνιες: την Operation Cobalt Whisper, που διεξήχθη μεταξύ Μαΐου και Σεπτεμβρίου 2024, και την Operation AmberMist, που έλαβε χώρα από τον Ιανουάριο έως τον Μάιο 2025. Οι στόχοι αυτών των καμπανιών περιλαμβάνουν τομείς όπως η άμυνα, η ηλεκτροτεχνική μηχανική, η ενέργεια, η πολιτική αεροπορία, η ακαδημαϊκή κοινότητα, οι ιατρικές εγκαταστάσεις, η κυβερνοασφάλεια, ο τομέας των παιχνιδιών και η ανάπτυξη λογισμικού.
Η επιχείρηση Cobalt Whisper
Η Operation Cobalt Whisper τεκμηριώθηκε για πρώτη φορά από την Seqrite Labs στα τέλη Οκτωβρίου 2024. Η καμπάνια αυτή χρησιμοποιούσε αρχεία ZIP που διαδίδονταν μέσω spear-phishing επιθέσεων για την παράδοση των Cobalt Strike beacons. Αυτά τα beacons, που αποτελούν ένα πλαίσιο μετά την εκμετάλλευση, διανέμονταν χρησιμοποιώντας LNK και Visual Basic Scripts ως ενδιάμεσα φορτία.
Η επιχείρηση AmberMist και οι τεχνικές της
Οι αλυσίδες επιθέσεων της AmberMist ξεκινούν με spear-phishing emails που παραδίδουν αρχεία LNK, τα οποία μεταμφιέζονται ως βιογραφικά σημειώματα, προκαλώντας μια πολυεπίπεδη διαδικασία μόλυνσης που καταλήγει στην ανάπτυξη του INET RAT και του Blister DLL loader. Εναλλακτικές ακολουθίες επιθέσεων που ανιχνεύθηκαν τον Ιανουάριο 2025, ανακατευθύνουν τους παραλήπτες email σε ψεύτικες σελίδες που μιμούνται τον ιστότοπο του Υπουργείου Ναυτιλιακών Υποθέσεων του Πακιστάν.
Η τεχνολογία πίσω από τις επιθέσεις
Το Shadow RAT, το οποίο εκκινείται μέσω DLL side-loading, έχει τη δυνατότητα να δημιουργεί επαφή με έναν απομακρυσμένο διακομιστή για να περιμένει περαιτέρω εντολές. Το INET RAT εκτιμάται ότι είναι μια τροποποιημένη έκδοση του Shadow RAT, ενώ το Blister DLL implant λειτουργεί ως φορτωτής shellcode, ανοίγοντας τελικά το δρόμο για ένα implant βασισμένο σε reverse-shell.
Προέλευση και στόχοι της UNG0002
Η ακριβής προέλευση της ομάδας απειλών παραμένει ασαφής, αλλά τα στοιχεία δείχνουν ότι πρόκειται για μια ομάδα επικεντρωμένη στην κατασκοπεία από τη Νοτιοανατολική Ασία. Η UNG0002 αντιπροσωπεύει μια εξελιγμένη και επίμονη απειλή από τη Νότια Ασία, που διατηρεί σταθερές επιχειρήσεις στόχευσης πολλών ασιατικών δικαιοδοσιών από τον Μάιο 2024. Η ομάδα επιδεικνύει υψηλή προσαρμοστικότητα και τεχνική επάρκεια, εξελίσσοντας συνεχώς το εργαλείο της, ενώ διατηρεί σταθερές τακτικές, τεχνικές και διαδικασίες.
