Hackerská skupina napojená na Čínu, známá jako Lotus Panda, byla spojena s kampaní, která kompromitovala několik organizací v nejmenované zemi jihovýchodní Asie mezi srpnem 2024 a únorem 2025.
„Cíle zahrnovaly vládní ministerstvo, organizaci řízení letového provozu, telekomunikačního operátora a stavební společnost,“ uvedl tým Symantec Threat Hunter. „Útoky zahrnovaly použití několika nových vlastních nástrojů, včetně loaderů, nástrojů pro krádež přihlašovacích údajů a nástroje pro reverzní SSH.“
Tato sada útoků údajně cílila také na tiskovou agenturu v jiné zemi jihovýchodní Asie a na organizaci zabývající se leteckou přepravou v dalším sousedním státě. Podle bezpečnostní divize společnosti Broadcom se jedná o pokračování kampaně, kterou firma odhalila v prosinci 2024 a která od října 2023 cílí na různé významné organizace v jihovýchodní Asii.
Minulý měsíc pak Cisco Talos spojil aktéra Lotus Panda s průniky zaměřenými na vládní, výrobní, telekomunikační a mediální sektor na Filipínách, ve Vietnamu, Hongkongu a na Tchaj-wanu, a to pomocí zadních vrátek známých jako Sagerunex.
Lotus Panda (známá také jako Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon a Thrip) má za sebou historii kybernetických útoků na vlády a vojenské organizace v jihovýchodní Asii.
Předpokládá se, že skupina je aktivní nejméně od roku 2009. Poprvé se dostala do centra pozornosti v červnu 2015, kdy Palo Alto Networks přisoudila této skupině vytrvalou spear-phishingovou kampaň, která zneužívala chybu v Microsoft Office (CVE-2012-0158) k šíření zadních vrátek pojmenovaných Elise (také známých jako Trensil), určených k provádění příkazů a čtení/zápisu souborů.
Následné útoky této skupiny zneužívaly chybu v Microsoft Windows OLE (CVE-2014-6332) prostřednictvím škodlivé přílohy zaslané spear-phishingovým e-mailem osobě pracující pro francouzské ministerstvo zahraničí na Tchaj-wanu, aby nasadily další trojský kůň související s Elise, kódově označený jako Emissary.
Zdroj: The Hacker News
Zdroj: IT SECURITY NETWORK NEWS
Zdroj: ICT NETWORK NEWS
