De dreigingsacteur bekend als Lapwerk is toegeschreven aan een nieuwe speer-phishing-campagne gericht op Turkse defensiecontractanten met als doel strategische intelligentie te verzamelen.
“De campagne maakt gebruik van een vijf-fasen uitvoeringsketen die wordt geleverd via kwaadaardige LNK-bestanden vermomd als conferentie-uitnodigingen die worden verzonden naar doelen die geïnteresseerd zijn in meer informatie over onbemande voertuigsystemen,” zei Arctic Wolf Labs in een technisch rapport dat deze week is gepubliceerd.
De activiteit, die ook een niet nader genoemde fabrikant van precisiegegeleide raketsystemen heeft uitgekozen, lijkt geopolitisch gemotiveerd te zijn als de timing samenvalt te midden van verdieping van de verdediging tussen Pakistan en Türkiye, en de recente India-Pakistan militaire huidsschildering.
Patchwork, ook wel APT-C-09, APT-Q-36, Chinastrats, dalende olifant, operatie-kater, gewatteerde tijger en zink Emerson genoemd, wordt beoordeeld als een door de staat gesponsorde acteur van Indiase afkomst. Bekend om sinds 2009 actief te zijn, heeft de hackgroep een track record van opvallende entiteiten in China, Pakistan en andere landen in Zuid -Azië.
Precies een jaar geleden documenteerde het Bekende SEC 404 -team de targeting -entiteiten van Patchwork met banden met Bhutan om het Brute Ratel C4 -framework en een bijgewerkte versie van een achterdeur genaamd Pgoshell te leveren.
Sinds het begin van 2025 is de dreigingsacteur in verband gebracht met verschillende campagnes gericht op Chinese universiteiten, met recente aanvallen met baits met betrekking tot elektriciteitsnetten in het land om een roest-gebaseerde lader te leveren die op zijn beurt decodeert en een C# trojan genaamd Protego lanceert om een breed scala van informatie te oogsten uit gecomprimeerde ramensystemen.
Een ander rapport gepubliceerd door de Chinese cybersecurity-onderneming Qianxin in mei zei dat het de overlapping van infrastructuur tussen patchwork en donot-team (aka APT-Q-38 of buikworm) identificeerde, wat duidt op potentiële operationele verbindingen tussen de twee bedreigingsclusters.
De targeting van Türkiye door de hackgroep wijst op een uitbreiding van zijn targeting voetafdruk, met behulp van Malicious Windows Shortcut (LNK) -bestanden die via phishing-e-mails worden gedistribueerd als uitgangspunt om het infectieproces van meerdere stage te starten.
In het bijzonder is het LNK -bestand ontworpen om PowerShell -opdrachten op te roepen die verantwoordelijk zijn voor het ophalen van extra payloads van een externe server (“Expouav (.) Org”), een domein gemaakt op 25 juni 2025, dat een PDF -lokaas een internationale conferentie nabootst over onbemande voertuigsystemen, waarvan de details worden gehost op de Legitimate IdeSet (.) Org -website.
“Het PDF -document dient als een visuele lokvogel, ontworpen om de gebruiker af te leiden, terwijl de rest van de uitvoeringsketen stilletjes op de achtergrond loopt,” zei Arctic Wolf. “Deze targeting vindt plaats als Türkiye 65% van de wereldwijde UAV-exportmarkt beveelt en kritieke hypersonische raketmogelijkheden ontwikkelt, terwijl het tegelijkertijd de defensiebanden met Pakistan versterken tijdens een periode van verhoogde India-Pakistan-spanningen.”
Onder de gedownloade artefacten is een kwaadwillende DLL die wordt gelanceerd met behulp van DLL-side-loading door middel van een geplande taak, wat uiteindelijk leidt tot de uitvoering van ShellCode die uitgebreide verkenning van de gecompromitteerde host uitvoert, inclusief het nemen van screenshots en de details terug naar de server.
“Dit vertegenwoordigt een belangrijke evolutie van de mogelijkheden van deze dreigingsacteur, die overstapt van de X64 DLL -varianten die in november 2024 werden waargenomen, naar de huidige X86 PE -uitvoerbare bestanden met verbeterde opdrachtstructuren,” zei het bedrijf. “Het laten vallen van olifant toont aanhoudende operationele investeringen en ontwikkeling door architecturale diversificatie van X64 DLL tot X86 PE -formaten, en verbeterde C2 -protocolimplementatie door imitatie van legitieme websites.”
