Dreigingsjagers hebben de tactiek blootgesteld van een China-uitgelijnde dreigingsacteur genaamd Ongevraagde boekener Dat was gericht op een naamloze internationale organisatie in Saoedi -Arabië met een eerder zonder papieren achterdeur genaamd Marssnake.
ESET, die voor het eerst de intrusies van de hackinggroep ontdekte die zich in maart 2023 richten op de entiteit en opnieuw een jaar later, zei dat de activiteit gebruik maakt van speer-phishing-e-mails met vliegtickets als kunstaas om interessante doelen te infiltreren.
“Ongevraagde Booker stuurt speer-phishing-e-mails, meestal met een vliegticket als het decoy, en haar doelen omvatten overheidsorganisaties in Azië, Afrika en het Midden-Oosten,” zei het bedrijf in haar laatste toepasselijke activiteitenrapport voor de periode variërend van oktober 2024 tot maart 2025.
Aanvallen gemonteerd door de dreigingsacteur worden gekenmerkt door het gebruik van backdoors zoals chinoxy, deedrat, Poison Ivy en Berat, die veel worden gebruikt door Chinese hackbemanningen.
Ongevraagde Booker wordt beoordeeld om overlappingen te delen met een cluster dat wordt gevolgd als ruimtepiraten en een niet-toegeschreven dreigingsactiviteitscluster dat werd gevonden die een achterdeur codenaam Zardoor inzet tegen een islamitische non-profit organisatie in Saoedi-Arabië.
De nieuwste campagne, gespot door het Slowaakse Cybersecurity Company in januari 2025, omvatte het sturen van een phishing -e -mail die beweerde van Saudia Airlines naar dezelfde Saoedi -Arabische organisatie over een vluchtboeking.
“Een Microsoft Word -document is aan de e -mail gekoppeld en de Decoy Content (…) is een vliegticket dat is gewijzigd, maar is gebaseerd op een PDF die online beschikbaar was op de Academia -website, een platform voor het delen van academisch onderzoek dat het uploaden van PDF -bestanden mogelijk maakt,” zei Eset.
Het Word -document, eenmaal gelanceerd, activeert de uitvoering van een VBA -macro die het bestandssysteem een uitvoerbaar bestand decodeert en schrijft (“smssdrvhost.exe”) die op zijn beurt fungeert als een lader voor Marssnake, een achterdeur die communicatie vestigt met een externe server (“contact.” Contact. “Contact.” Contact. “Contact.
“De meerdere pogingen om deze organisatie in 2023, 2024 en 2025 in gevaar te brengen, duiden op een sterke interesse van de ongevraagde boekener in dit specifieke doelwit,” zei ESET.
De openbaarmaking komt als een andere Chinese dreigingsacteur die werd gevolgd als perplexedgeblin (aka apt31) richtte zich in december 2024 op een Midden -Europese overheidsentiteit om een spionage achterdeur in te zetten die nanoslaat wordt genoemd.
ESET zei dat het ook identificeerde dat DigitalRecyclers voortdurend aanvallen op overheidsinstellingen van de Europese Unie, gebruikten van het KMA VPN Operational Relay Box (ORB) -netwerk om zijn netwerkverkeer te verbergen en de RClient, HydrorShell en Giftbox Backdoors te implementeren.
DigitalRecyclers werd voor het eerst gedetecteerd door het bedrijf in 2021, hoewel het wordt verondersteld actief te zijn sinds minstens 2018.
“Waarschijnlijk gekoppeld aan KE3Chang en backdoordiplomatie, opereert DigitalRecyclers binnen de APT15 Galaxy,” zei ESET. “Ze implementeren het RClient Implant, een variant van het project KMA Stealer. In september 2023 introduceerde de groep een nieuwe achterdeur, Hydrorshell, die Google’s Protobuf en MBED TLS gebruikt voor C&C Communications.”
