Een voorheen ongedocumenteerde cyberspionagegroep die vanuit Azië opereerde, heeft het afgelopen jaar ingebroken in de netwerken van minstens 70 overheids- en kritieke infrastructuurorganisaties in 37 landen, volgens nieuwe bevindingen van Palo Alto Networks Unit 42.
Bovendien is waargenomen dat de hackploeg tussen november en december 2025 actieve verkenningen uitvoerde tegen de overheidsinfrastructuur die verband houdt met 155 landen. Enkele van de entiteiten die met succes zijn gecompromitteerd, zijn onder meer vijf wetshandhavings-/grenscontrole-entiteiten op nationaal niveau, drie ministeries van Financiën en andere ministeries, en afdelingen die zich bezighouden met economische, handels-, natuurlijke hulpbronnen en diplomatieke functies.
De activiteit wordt onder de naam gevolgd door het cyberbeveiligingsbedrijf TGR-STA-1030waarbij ‘TGR’ staat voor tijdelijke dreigingsgroep en ‘STA’ verwijst naar door de staat gesteunde motivatie. Er zijn aanwijzingen dat de dreigingsactor actief is sinds januari 2024.
Hoewel het land van herkomst van de hackers onduidelijk blijft, wordt aangenomen dat ze van Aziatische afkomst zijn, gezien het gebruik van regionale tools en diensten, taalkeuzevoorkeuren, targeting die consistent is met gebeurtenissen en inlichtingen die van belang zijn voor de regio, en de GMT+8 openingstijden.
Het is gebleken dat aanvalsketens phishing-e-mails gebruiken als startpunt om ontvangers te misleiden zodat ze op een link klikken die verwijst naar de in Nieuw-Zeeland gevestigde bestandshostingservice MEGA. De link host een ZIP-archief met een uitvoerbaar bestand genaamd Diaoyu Loader en een nulbytebestand met de naam “pic1.png.”
“De malware maakt gebruik van een tweetraps uitvoeringsvangrail om geautomatiseerde sandbox-analyse te dwarsbomen”, aldus Unit 42. “Naast de hardwarevereiste van een horizontale schermresolutie groter dan of gelijk aan 1440, voert het voorbeeld een omgevingsafhankelijkheidscontrole uit voor een specifiek bestand (pic1.png) in de uitvoeringsmap.”
De PNG-afbeelding fungeert als een op bestanden gebaseerde integriteitscontrole die ervoor zorgt dat het malware-artefact wordt beëindigd voordat het zijn snode gedrag ontketent als het niet op dezelfde locatie aanwezig is. Pas nadat aan deze voorwaarde is voldaan, controleert de malware op de aanwezigheid van specifieke cyberbeveiligingsprogramma’s van Avira (“SentryEye.exe”), Bitdefender (“EPSecurityService.exe”), Kaspersky (“Avp.exe”), Sentinel One (“SentinelUI.exe”) en Symantec (“NortonSecurity.exe”).
Het is momenteel niet bekend waarom de bedreigingsactoren ervoor hebben gekozen om slechts naar een beperkte selectie producten te zoeken. Het einddoel van de loader is het downloaden van drie afbeeldingen (“admin-bar-sprite.png”, “Linux.jpg” en “Windows.jpg”) uit een GitHub-repository genaamd “WordPress”, die dienen als kanaal voor de implementatie van een Cobalt Strike-payload. Het bijbehorende GitHub-account (“github(.)com/padeqav”) is niet langer beschikbaar.
Er is ook waargenomen dat TGR-STA-1030 probeert verschillende soorten N-day-kwetsbaarheden te misbruiken die van invloed zijn op een groot aantal softwareproducten van Microsoft, SAP, Atlassian, Ruijieyi Networks, Commvault en Eyou Email System om initiële toegang te krijgen tot doelnetwerken. Er zijn geen aanwijzingen dat de groep een zero-day-exploit in hun aanvallen heeft ontwikkeld of gebruikt.
Tot de tools die door de bedreigingsacteur worden gebruikt behoren command-and-control (C2)-frameworks, webshells en tunneling-hulpprogramma’s –
Het is vermeldenswaard dat het gebruik van de bovengenoemde webshells vaak in verband wordt gebracht met Chinese hackgroepen. Een ander opmerkelijk hulpmiddel is een Linux-kernelrootkit met de codenaam ShadowGuard die de Extended Berkeley Packet Filter (eBPF)-technologie gebruikt om details van procesinformatie te verbergen, kritische systeemoproepen te onderscheppen om specifieke processen te verbergen voor analysetools voor gebruikersruimte zoals ps, en mappen en bestanden met de naam “swsecret” te verbergen.
“De groep leaset en configureert zijn C2-servers routinematig op een infrastructuur die eigendom is van een verscheidenheid aan legitieme en algemeen bekende VPS-providers”, aldus Unit 42. “Om verbinding te maken met de C2-infrastructuur huurt de groep extra VPS-infrastructuur die het gebruikt om verkeer door te sturen.”
De cyberbeveiligingsleverancier zei dat de tegenstander erin slaagde maandenlang toegang te behouden tot verschillende van de getroffen entiteiten, wat wijst op pogingen om gedurende langere perioden inlichtingen te verzamelen.
“TGR-STA-1030 blijft wereldwijd een actieve bedreiging voor de overheid en kritieke infrastructuur. De groep richt zich primair op ministeries en departementen voor spionagedoeleinden”, concludeerde het rapport. “Wij zijn van mening dat het prioriteit geeft aan inspanningen tegen landen die bepaalde economische partnerschappen hebben opgezet of aan het onderzoeken zijn.”
“Hoewel deze groep misschien spionagedoelstellingen nastreeft, zijn haar methoden, doelen en omvang van hun operaties alarmerend, met mogelijke langetermijngevolgen voor de nationale veiligheid en belangrijke diensten.”
