به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، گروهی که پشت این کمپین قرار دارد و با نام UNC2970 ردیابی میشود، احتمالاً به کره شمالی مرتبط است و با یک عامل تهدید دیگر که از سوی پیونگیانگ حمایت میشود به نام تمپ هرمیت (TEMP.Hermit) همپوشانی دارد.
محققان این گروه سایبری، که متعلق به گوگل است، کمپین اخیر UNC2970 را در ژوئن ۲۰۲۴ کشف کردند و یافتههای خود را روز سهشنبه منتشر کردند.
این گروه برای اولین بار در سال ۲۰۲۱ شناسایی شد و از آن زمان تاکنون قربانیانی را در ایالات متحده، بریتانیا، هلند، قبرس، سوئد، آلمان، سنگاپور، هنگکنگ و استرالیا هدف قرار داده است.
طبق این گزارش، هکرهای UNC2970 از طریق ایمیل و واتساپ با قربانیان ارتباط برقرار میکنند و خود را به عنوان استخدامکنندگان شرکتهای معروف معرفی میکنند.
در نهایت، آنها یک آرشیو مخرب به اشتراک میگذارند که ظاهراً حاوی توضیحات شغلی در قالب یک فایل پی دی اف (PDF) است.
فایل پی دی اف تنها با نسخهای تروجان شده از نرمافزار منبع باز سوماترا پی دی اف (SumatraPDF) قابل باز شدن است، که از طریق لانچر برن بوک (Burnbook)، بدافزاری به نام میستپن (Mistpen) را منتقل میکند.
محققان اعلام کردند که هکرها کد منبع باز یک نسخه قدیمیتر از سوماترا پی دی اف را برای این کمپین تغییر دادهاند و سرویس واقعی سوماترا پی دی اف دچار مشکل نشده است.
گروه UNC2970 از محتوای واقعی توصیف شغلی استفاده میکند تا در میان قربانیان، کارکنان شاغل در بخشهای زیرساختی حیاتی ایالات متحده را نیز هدف قرار دهد.
بدافزار میستپن یک تغییر از یک افزونه قانونی برای ویرایشگر متن و کد منبع برنامه نوت پد++ (Notepad++) است.
این درب پشتی با گذشت زمان بهبود یافته و ویژگیهای جدیدی به آن اضافه شده است، از جمله بررسی اتصال شبکه که تحلیل نمونه را پیچیدهتر میکند.
اگرچه ماندیانت (Mandiant) به نام قربانیان مشخصی در این کمپین اشاره نمیکند، اما محققان معتقدند که هکرها احتمالاً قصد دارند به کارکنان در سطوح ارشد یا مدیریتی دسترسی پیدا کنند.
محققان افزودند:
این موضوع نشان میدهد که عامل تهدید قصد دارد به اطلاعات حساس و محرمانهای دسترسی پیدا کند که معمولاً به کارکنان رده بالاتر محدود میشود. همچنین هکرها پیامهای مخرب خود را مطابق با پروفایل قربانیان تنظیم میکنند تا احتمال موفقیت آنها بیشتر شود.
