De China-gekoppelde dreigingsacteur achter de recente exploitatie in het wild van een kritische beveiligingsfout in SAP Netweaver is sinds 2023 toegeschreven aan een bredere reeks aanvallen op organisaties in Brazilië, India en Zuidoost-Azië.
“De dreigingsacteur is voornamelijk gericht op de SQL -injectie -kwetsbaarheden die op webtoepassingen zijn ontdekt om toegang te krijgen tot de SQL -servers van gerichte organisaties,” zei Trend Micro Security -onderzoeker Joseph C Chen in een analyse die deze week is gepubliceerd. “De acteur maakt ook gebruik van verschillende bekende kwetsbaarheden om in het publiek gerichte servers te exploiteren.”
Sommige van de andere prominente doelen van het tegenstanders zijn Indonesië, Maleisië, de Filippijnen, Thailand en Vietnam.
Het Cybersecurity Company volgt de activiteit onder de naam Earth LamiaHet vermelden van de activiteit deelt een zekere mate van overlap met bedreigingsclusters die zijn gedocumenteerd door elastische beveiligingslaboratoria als REF0657, Sophos als STAC6451 en Palo Alto Networks Unit 42 als CL-STA-0048.
Elk van deze aanvallen heeft gerichte organisaties die meerdere sectoren in Zuid-Azië omvatten, vaak gebruikmaken van internet-blootgestelde Microsoft SQL-servers en andere instanties om verkenningsverkenning uit te voeren, post-exploitatiehulpmiddelen zoals kobaltstaking en supershell in te zetten en proxy-tunnels op te zetten voor de slachtoffernetwerken met behulp van de slachtoffer-netwerken met behulp van Rakshasa en Stowaway.
Ook worden gebruikt voor privilege -escalatietools zoals Godpotato en Juicypotato; Netwerkscanninghulpprogramma’s zoals FSCAN en KSCAN; en legitieme programma’s zoals wevtutil.exe om LODES -logboeken voor Windows -applicatie, systeem- en beveiligingsgebeurtenis te reinigen.
Bepaalde intrusies gericht op Indiase entiteiten hebben ook geprobeerd om nabije ransomware -binaire bestanden in te zetten om slachtoffersbestanden te coderen, hoewel de inspanningen grotendeels niet succesvol waren.
“Terwijl de acteurs werden gezien die de Mimic Ransomware -binaries organiseerden in alle waargenomen incidenten, voerden de ransomware vaak niet met succes uit, en in verschillende gevallen werden de acteurs gezien die probeerden de binaire bestanden te verwijderen na te zijn ingezet,” merkte Sophos op in een analyse gepubliceerd in een analyse gepubliceerd in een analyse gepubliceerd in een analyse gepubliceerd in een analyse gepubliceerd in een analyse gepubliceerd in een analyse gepubliceerd in een analyse gepubliceerd in een analyse gepubliceerd in een analyse gepubliceerd in een analyse gepubliceerd in een analyse gepubliceerd.
Vervolgens onthulde Eclecticiq eerder deze maand dat CL-STA-0048 een van de vele China-Nexus-cyberspionagegroepen was die CVE-2025-31324 exploiteert, een kritisch niet-geauthenticeerde kwetsbaarheid voor het uploaden van bestanden in SAP NetWeaver om een reverse shell te vestigen op infrastructuur onder zijn controle.
Naast CVE-2025-31324 zou de hackingploeg maar liefst acht verschillende kwetsbaarheden hebben bewapend om in het openbaar gerichte servers te schenden-
Trend Micro beschreef het als ‘zeer actief’, merkte op dat de dreigingsacteur haar focus heeft verplaatst van financiële diensten naar logistiek en online retail, en het meest recent, naar IT -bedrijven, universiteiten en overheidsorganisaties.
“Begin 2024 en eerder hebben we opgemerkt dat de meeste van hun doelen organisaties binnen de financiële sector waren, met name gerelateerd aan effecten en makelaardij,” zei het bedrijf. “In de tweede helft van 2024 hebben ze hun doelen overgedragen naar organisaties voornamelijk in de logistieke en online retailindustrie. Onlangs hebben we gemerkt dat hun doelen opnieuw zijn verschoven naar IT -bedrijven, universiteiten en overheidsorganisaties.”
Een opmerkelijke techniek die door Earth Lamia is aangenomen, is het lanceren van zijn aangepaste backdoors zoals Pulsepack via DLL Side-loading, een aanpak die veel omarmde door Chinese hackgroepen. Een modulair .NET-gebaseerd implantaat, PulSepack communiceert met een externe server om verschillende plug-ins op te halen om zijn functies uit te voeren.
Trend Micro zei dat het in maart 2025 een bijgewerkte versie van de Backdoor heeft waargenomen die de communicatiemethode Command-and-Control (C2) van TCP in WebSocket wijzigt, wat wijst op een actieve voortdurende ontwikkeling van de malware.
“Earth Lamia voert zijn activiteiten uit in meerdere landen en industrieën met agressieve bedoelingen,” concludeerde het. “Tegelijkertijd verfijnt de dreigingsacteur continu hun aanvalstactieken door aangepaste hackingtools en nieuwe achterdeuren te ontwikkelen.”
