Meerdere sectoren in China, Hong Kong en Pakistan zijn het doelwit geworden van een dreigingsactiviteitcluster dat wordt gevolgd als UNG0002 (AKA Unknown Group 0002) als onderdeel van een bredere cyberspionage -campagne.
“Deze dreigingsentiteit toont een sterke voorkeur voor het gebruik van snelkoppelingsbestanden (LNK), VBScript en post-exploitatiehulpmiddelen zoals kobaltstaking en metasploit, terwijl consequent de inzet van CV-thema Decoy-documenten om slachtoffers te lokken,” Senqrite Labs-onderzoeker Subhajeet Singha zei in een rapport van deze week.
De activiteit omvat twee belangrijke campagnes, een genaamd Operation Cobalt Whisper die plaatsvond tussen mei en september 2024, en Operation Ambermist die plaatsvond tussen januari en mei 2025.
Doelstellingen van deze campagnes omvatten defensie, elektrotechnische engineering, energie, burgerluchtvaart, academische wereld, medische instellingen, cybersecurity, gaming en softwareontwikkelingssectoren.
Operatie Cobalt Whisper werd voor het eerst gedocumenteerd door Seqrite Labs eind oktober 2024, met details over het gebruik van zip-archieven die werden gepropageerd via speer-phishing-aanvallen om Cobalt Strike Beacons te leveren, een post-exploitatie framework, met behulp van LNK en Visual Basic-scripts als interim-payloads.
“De reikwijdte en complexiteit van de campagne, in combinatie met de op maat gemaakte kunstaas, suggereren sterk een gerichte inspanning van een APT -groep om gevoelig onderzoek en intellectueel eigendom in deze industrieën in gevaar te brengen,” merkte het bedrijf op dat moment op.
De ambermistische aanvalsketens zijn gevonden om speer-phishing-e-mails te benutten als uitgangspunt om LNK-bestanden te leveren die zich voordoen als curriculum vitae en hervat om een infectieproces met meerdere fasen los te laten dat resulteert in de implementatie van de INET-ratten- en blister-DLL-lader.
Alternatieve aanvalsreeksen die in januari 2025 zijn gedetecteerd, zijn gevonden om e -mailontvangers om te leiden naar neplandingspagina’s die het Pakistan Ministry of Maritime Affairs (MOMA) -website (MoMA) van Pakistan spoofistan spoofistan om te dienen om nep -captcha -verificatiecontroles te dienen die gebruik maken van clickfix -tactiek om PowerShell -opdrachten te lanceren, die worden gebruikt om Shadow Rat uit te voeren.
Shadow Rat, gelanceerd via DLL Side-loading, is in staat om contact te leggen met een externe server om af te wachten op verdere opdrachten. Inet Rat wordt beoordeeld als een gemodificeerde versie van Shadow Rat, terwijl de Blister DLL-implantaat functioneert als een ShellCode-lader, die uiteindelijk de weg vrijmaakt voor een op omgekeerde schaal gebaseerd implantaat.
De exacte oorsprong van de dreigingsacteur blijft onduidelijk, maar bewijsmateriaal wijst erop dat het een spionagegerichte groep uit Zuidoost-Azië is.
“UNG0002 vertegenwoordigt een geavanceerde en aanhoudende bedreigingsentiteit uit Zuid -Azië die consistente operaties heeft behouden gericht op meerdere Aziatische rechtsgebieden sinds minstens mei 2024,” zei Singha. “De groep vertoont een hoge aanpassingsvermogen en technische vaardigheid, die hun toolset continu evolueert met behoud van consistente tactieken, technieken en procedures.”
