Een Türkiye-gelieerde dreigingsacteur exploiteerde een zero-day beveiligingsfout in een Indian Enterprise Communication Platform genaamd Output Messenger als onderdeel van een cyberspionageaanvalcampagne sinds april 2024.
“Deze exploits hebben geresulteerd in een verzameling gerelateerde gebruikersgegevens uit doelen in Irak,” zei het Microsoft Threat Intelligence -team. “De doelen van de aanval worden geassocieerd met de Koerdische militaire die in Irak opereert, consistent met eerder waargenomen gemarmerde stof gerichte prioriteiten.”
De activiteit is toegeschreven aan een bedreigingsgroep die het volgt als gemarmerd stof (voorheen silicium), dat ook bekend staat als Cosmic Wolf, Sea Turtle, Teal Kurma en UNC1326. De hacking crew wordt verondersteld sinds minstens 2017 actief te zijn, hoewel het pas twee jaar later was dat Cisco Talos aanvallen documenteerde die gericht zijn op openbare en privé -entiteiten in het Midden -Oosten en Noord -Afrika.
Begin vorig jaar werd het ook geïdentificeerd als het richten van telecommunicatie, media, internetproviders (ISP’s), informatietechnologie (IT) -serviceproviders en Koerdische websites in Nederland.
Microsoft heeft met een gematigd vertrouwen beoordeeld dat de dreigingsacteur vooraf een soort verkenning heeft uitgevoerd om te bepalen of zijn doelen output messenger-gebruikers zijn en vervolgens de nul-dag gebruik te maken van kwaadaardige payloads en exfiltraatgegevens van doelen.
De kwetsbaarheid in kwestie is CVE-2025-27920, een directory-doorverwegingskwetsbaarheid die van invloed is op versie 2.0.62 waarmee externe aanvallers toegang hebben tot of willekeurige bestanden uitvoeren. De kwestie is aangepakt door de ontwikkelaar SRIMAX vanaf eind december 2024 met versie 2.0.63. Het bedrijf maakt echter geen melding van de fout die in het wild in zijn advies wordt uitgebuit.
De aanvalsketen begint met het feit dat de dreigingsacteur toegang krijgt tot de toepassing Output Messenger Server Manager als een geverifieerde gebruiker. Er wordt aangenomen dat gemarmerd stof technieken gebruikt zoals DNS kapen of typosquatted domeinen om de inloggegevens te onderscheppen die nodig zijn voor authenticatie.
De toegang wordt vervolgens misbruikt om de uitvoer van de gebruiker messenger-referenties van de gebruiker te verzamelen en CVE-2025-27920 te exploiteren om payloads te laten vallen zoals “om.vbs” en “omserVerservice.vbs” naar de map met de serverstartup en “omserVerservice.exe” naar de “Gebruikers/public/videos” -directory van de server.
In de volgende fase gebruikt de dreigingsacteur “OmserVerservice.VBS” om “OM.VBS” en “omserVerservice.exe,” de laatste is een Golang-achterdeur die in contact is
“Aan de clientzijde haalt het installatieprogramma uit en voert zowel de legitieme bestand outputMessenger.exe als omClientservice.exe uit en voert een andere Golang-achterdeur uit die verbinding maakt met een gemarmerd stofcommando-en-control (C2) -domein,” merkte Microsoft op.
“Deze backdoor voert eerst een connectiviteitscontrole uit via een GET -aanvraag naar het C2 -domein API.WordInfos (.) Com. Als succesvol, wordt een tweede GET -verzoek verzonden naar dezelfde C2 met hostnaaminformatie om het slachtoffer op unieke te identificeren.
In één geval betrof een slachtofferapparaat met output messenger clients -software geïnstalleerd met verbinding met een IP -adres dat eerder werd geïdentificeerd als gebruikt door gemarmerd stof voor waarschijnlijke data -exfiltratie.
De tech-reus merkte ook op dat het een tweede fout ontdekte, een weerspiegelde kwetsbaarheid van cross-site scripting (XSS) in dezelfde versie (CVE-2025-27921), hoewel het zei dat het geen bewijs vond dat het werd bewapend in echte aanvallen.
“Deze nieuwe aanval betekent een opmerkelijke verschuiving in het vermogen van marmerd stof met behoud van de consistentie in hun algemene aanpak,” zei Microsoft. “Het succesvolle gebruik van een zero-day exploit suggereert een toename van de technische verfijning en kan ook suggereren dat de targetingprioriteiten van marmer stof zijn geëscaleerd of dat hun operationele doelen urgenter zijn geworden.”
