Cybersecurity -onderzoekers hebben licht geworpen op een eerder dreigingsacteur zonder papieren genaamd Nachteagle (AKA APT-Q-95) waargenomen is gericht op Microsoft Exchange-servers als onderdeel van een zero-day exploitketen die is ontworpen om zich te richten op de overheids-, defensie- en technologische sectoren in China.
Volgens het RedDrip -team van Qianxin is de dreigingsacteur sinds 2023 actief en heeft de netwerkinfrastructuur met extreem snelle tarief veranderd. De bevindingen werden gepresenteerd op Cydes 2025, de derde editie van de National Cyber Defense & Security -tentoonstelling van Maleisië en conferentie tussen 1 en 3, 2025.
“Het lijkt de snelheid van een adelaar te hebben en heeft ’s nachts in China geopereerd,” zei de leverancier van cybersecurity, en legde de redenering uit achter het benoemen van de tegenstander van de nachteagle.
Aanvallen die door de dreigingsacteur zijn gemonteerd, hebben entiteiten uitgekozen die actief zijn in de hightech, chip-halfgeleiders, kwantumtechnologie, kunstmatige intelligentie en militaire verticals met het belangrijkste doel om intelligentie te verzamelen, voegde Qianxin toe.
Het bedrijf merkte ook op dat het een onderzoek begon nadat het een op maat gemaakte versie van het Go-gebaseerde beitelhulpprogramma had ontdekt op een van de eindpunten van zijn klant die werd geconfigureerd om automatisch om de vier uur te beginnen als onderdeel van een geplande taak.
“De aanvaller heeft de broncode gewijzigd van de open-source beitel intranet penetratietool, hard gecodeerd de uitvoeringsparameters, gebruikte de opgegeven gebruikersnaam en het wachtwoord, een Socks-verbinding tot stand met het 443-einde van het opgegeven C&C-adres en heeft het in kaart gebracht op de opgegeven poort van de C & C-host om de intranet-penetratiefunctie te bereiken,” zei in een rapport.
Er wordt gezegd dat de Trojan wordt geleverd door middel van een .NET -lader, die op zijn beurt wordt geïmplanteerd in de Internet Information Server (IIS) -service van de Microsoft Exchange Server. Verdere analyse heeft de aanwezigheid van een nuldagen bepaald waarmee de aanvallers de machineboets kunnen verkrijgen en ongeautoriseerde toegang tot de Exchange Server kunnen krijgen.
“De aanvaller gebruikte de sleutel om de Exchange -server te deserialiseren, waardoor een Trojan wordt geïmplanteerd in een server die voldoet aan de Exchange -versie en op afstand de mailboxgegevens van een persoon lezen,” zei het rapport.
Qianxin beweerde dat de activiteit waarschijnlijk het werk was van een dreigingsacteur uit Noord -Amerika, gezien het feit dat de aanvallen plaatsvonden tussen 21.00 en 6 uur in Beijing. The Hacker News heeft contact opgenomen met Microsoft voor meer commentaar en we zullen het verhaal bijwerken als we een reactie krijgen.
