ESET yeni bir siber casusluk saldırısı belgeledi

ESET Araştırma Birimi, Mustang Panda APT grubu tarafından daha önce belgelenmemiş bir Korplug varyantının kullanıldığı, devam etmekte olan bir siber casusluk saldırısı keşfetti. Bu siber casusluk kampanyası, Ağustos 2021’den bu yana görülüyor ve 2022 Mart itibariyle halen devam ediyor. Mevcut saldırılar, Ukrayna’daki savaştan ve Avrupa’daki diğer haber başlıklarından yararlanıyor. Bilinen kurbanlar arasında araştırma kurumları, internet servis sağlayıcıları (ISP’ler) ve çoğunlukla Doğu ve Güneydoğu Asya’da bulunan Avrupalı diplomatik temsilciler yer alıyor. ESET araştırmacıları, 2020’de belgelenen THOR varyantına benzerliği nedeniyle bu yeni Korplug varyantına Hodur adını verdi. İskandinav mitolojisinde Hodur, Thor’un kör üvey kardeşidir.
Bu saldırı kampanyasının kurbanları, muhtemelen Rusya’nın Ukrayna’yı işgali gibi Avrupa’daki en son olayları kötüye kullanarak kimlik avı belgeleriyle kandırılıyor. İşgal, Birleşmiş Milletler Mülteci Örgütü UNHCR’ye göre üç milyondan fazla kişinin savaştan komşu ülkelere kaçmasına ve Ukrayna sınırlarında benzeri görülmemiş bir krize yol açtı. Bu kampanyayla ilgili dosyalardan biri “Situation at the EU borders with Ukraine.exe” (Ukrayna ile AB Sınırlarındaki Durum.exe) adına sahip.
Kimlik avına yönelik kandırma yöntemleri, güncellenmiş COVID-19 seyahat kısıtlamalarından, Yunanistan için onaylanmış bir bölgesel yardım haritasından ve Avrupa Parlamentosu ve Konsey Yönetmeliği’nden bahsediyor. En son kandırma yöntemi ise, Avrupa Konseyi’nin web sitesinde bulunan gerçek bir belge. Bu durum, bu kampanyanın arkasındaki APT grubunun güncel olayları takip ettiğini ve bu olaylara başarılı ve hızlı bir şekilde tepki verebildiğini gösteriyor.