به گزارش کارگروه حملات سایبری سایبربان؛ محققان ادعا کردند که یک گروه هکری، در یک کمپین جاسوسی جدید، کاربران در شرق آسیا را هدف قرار داده است.
این عامل تهدید موسوم به «PlushDaemon»، نصب کننده شبکه خصوصی مجازی (VPN) را به خطر انداخت که توسط شرکت «IPany» متعلق به کره جنوبی برای استقرار بدافزار سفارشی روی دستگاههای قربانیان توسعه داده شده بود.
براساس گزارش شرکت امنیت سایبری «ESET» مستقر در اسلواکی، مهاجمان نصب کننده قانونی IPany را با نصب کنندهای جایگزین کردند که یک درب پشتی برای جمعآوری گسترده دادهها و جاسوسی از طریق صدا و تصویر ضبط شده به کار برده است.
کارشناسان اعلام کردند که PlushDaemon در سال 2023 شرکت IPany را به خطر انداخت، اما محققان در ماه می گذشته زمانی این کمپین را کشف کردند که کدهای مخرب را در یک نصب کننده ویندوز شناسایی کردند که کاربران کره جنوبی از وبسایت قانونی IPany دانلود کرده بودند.
ESET گفت که با توسعه دهنده ویپیان تماس گرفت تا آنها را از این خطر مطلع کند و درنتیجه، نصب کننده مخرب از وبسایت حذف شد.
مشخص نیست که هکرها چه تعداد قربانی را به خطر انداختهاند، اما محققان معتقدند که هر کسی که از ویپیان شرکت کرهای استفاده میکند، میتواند یک هدف معتبر باشد.
شرکت امنیت سایبری ESET دریافت که چندین کاربر سعی کردند نرمافزار آلوده را در شبکه یک شرکت نیمه هادی و یک شرکت توسعه نرمافزار ناشناس در کره جنوبی نصب کنند. این شرکت همچنین قربانیانی را در ژاپن و چین شناسایی کرد.
با وجود اینکه PlushDaemon قبلاً شناسایی نشده بود، حداقل از سال 2019 فعال بوده و در عملیاتهای جاسوسی علیه افراد و نهادها در چین، تایوان، هنگکنگ، کره جنوبی، ایالات متحده و نیوزیلند شرکت داشته است. به گفته ESET، تکنیک اصلی دسترسی اولیه این گروه، ربودن بهروزرسانیهای قانونی برنامههای کاربردی چینی است.
اجزای متعدد در مجموعه ابزار PlushDaemon و تاریخچه نسخه غنی آن، نشان میدهد که اگرچه قبلاً ناشناخته بوده، اما این گروه تهدید مداوم پیشرفته همسو با چین به سختی برای توسعه طیف گستردهای از ابزارها کار میکرده و به همین دلیل آن را به یک تهدید قابل توجه برای مراقبت تبدیل کرده است.
