سازمان‌ها در تایوان و یک سازمان غیردولتی ایالات متحده (NGO) مستقر در چین توسط یک گروه هکری وابسته به دولت پکن به نام Daggerfly با استفاده از مجموعه‌ای از ابزارهای بدافزار ارتقا یافته هدف قرار گرفته‌اند.

تیم شکارچی تهدید سیمانتک، بخشی از Broadcom، در گزارش جدیدی که امروز منتشر شد، گفت: این کمپین نشانه‌ای از این است که این گروه "همچنین درگیر جاسوسی داخلی است." در حمله به این سازمان، مهاجمان از یک آسیب پذیری در سرور HTTP آپاچی برای ارائه بدافزار MgBot خود سوء استفاده کردند.

Daggerfly که با نام های Bronze Highland و Evasive Panda نیز شناخته می شود، قبلاً با استفاده از چارچوب بدافزار مدولار MgBot در ارتباط با یک ماموریت جمع آوری اطلاعات با هدف ارائه دهندگان خدمات مخابراتی در آفریقا مشاهده شده بود. شناخته شده است که از سال 2012 عملیاتی شده است.
این شرکت خاطرنشان کرد: «به نظر می‌رسد Daggerfly می‌تواند با به‌روزرسانی سریع مجموعه ابزار خود برای ادامه فعالیت‌های جاسوسی خود با کمترین اختلال، به قرار گرفتن در معرض قرار گرفتن واکنش نشان دهد».

آخرین مجموعه حملات با استفاده از یک خانواده بدافزار جدید مبتنی بر MgBot و همچنین یک نسخه بهبود یافته از بدافزار شناخته شده Apple macOS به نام MACMA مشخص می شود که برای اولین بار توسط گروه تحلیل تهدیدات گوگل (TAG) در نوامبر 2021 به عنوان توزیع شده افشا شد. از طریق حملات سوراخ آبی که کاربران اینترنت در هنگ کنگ را با سوء استفاده از نقص های امنیتی در مرورگر سافاری هدف قرار می دهند.

این توسعه اولین بار است که نوع بدافزار، که قادر به جمع آوری اطلاعات حساس و اجرای دستورات دلخواه است، به طور صریح به یک گروه هکر خاص مرتبط شده است.

SentinelOne در تجزیه و تحلیل بعدی در آن زمان خاطرنشان کرد: «بازیگران پشت macOS.MACMA حداقل از کدهای توسعه‌دهندگان ELF/Android استفاده مجدد می‌کردند و احتمالاً تلفن‌های اندرویدی را نیز با بدافزار هدف قرار می‌دادند».

اتصالات MACMA به Daggerly همچنین از همپوشانی کد منبع بین بدافزار و Mgbot و این واقعیت که به یک سرور فرمان و کنترل (C2) (103.243.212[.]98) متصل می شود که توسط MgBot نیز استفاده شده است، ناشی می شود.

بدافزار جدید دیگری که در زرادخانه آن وجود دارد، Nightdoor (معروف به NetMM و Suzafk)، ایمپلنتی است که از Google Drive API برای C2 استفاده می‌کند و حداقل از سپتامبر 2023 در حملات حفره‌ای با هدف کاربران تبتی مورد استفاده قرار گرفته است. جزئیات این فعالیت برای اولین بار توسط ESET اوایل ماه مارس.

سیمانتک گفت: «این گروه می‌تواند نسخه‌هایی از ابزارهای خود را ایجاد کند که اکثر پلتفرم‌های اصلی سیستم‌عامل را هدف قرار می‌دهند. "

این توسعه در حالی صورت می‌گیرد که مرکز ملی واکنش اضطراری ویروس رایانه‌ای چین (CVERC) ادعا می‌کند که طوفان ولتاژ - که توسط کشورهای Five Eyes به عنوان یک گروه جاسوسی چین-nexus نسبت داده می‌شود - اختراع سازمان‌های اطلاعاتی ایالات متحده است و آن را اطلاعات نادرست توصیف کرد. پویش.

CVERC در گزارش اخیر خود تاکید کرد: «اگرچه اهداف اصلی آن کنگره ایالات متحده و مردم آمریکا هستند، اما همچنین تلاش می کند چین را بدنام کند، بین چین و سایر کشورها اختلاف ایجاد کند، توسعه چین را مهار کند و شرکت های چینی را غارت کند». .