Sektor wojskowy w Europie Wschodniej zaatakowany przez chińskich hakerów

Grupa hakerów powiązanych z rządem Państwa Środka CactusPepe została pierwszy raz zidentyfikowana w 2013 roku, a jej działania były skupione przede wszystkim na celach wojskowych, dyplomatycznych oraz infrastrukturze krytycznej w Azji i Europie Wschodniej.

Nowa kampania cyberszpiegowska CactusPepe została wykryta przez Kaspersky w lutym 2020 roku. Grupa nie zmieniła celów swoich ataków i tym razem uderzyła w sektor wojskowy i finansowy, zlokalizowany w Europie Wschodniej. Do swoich operacji wykorzystała backdoor Bisonal. Kaspersky zlokalizował ponad 300 identycznych próbek wskazujących na działalność grupy, które pojawiły się pomiędzy marcem 2019 roku a kwietniem 2020, na co przypada około 20 próbek miesięcznie, pokazując tym samym aktywność chińskich hakerów. Kaspersky Lab nie podał jakie konkretnie kraje i instytucje zostały zaatakowane.

Metoda rozpowszechniania złośliwego oprogramowania w nowo wykrytej kampanii pozostaje nieznana, ale we wcześniejszych swoich działaniach najczęściej posługiwano się spearphisingiem, wysyłając e-maile ze złośliwymi załącznikami. Załączniki nie wykorzystywały nigdy zero-day exploitów , tylko ostatnio odkryte podatności, które powinny zostać teoretycznie załatane. Otwarcie załączników w mailach prowadziło do infekcji.

CactusPete to chińskojęzyczna grupa APT prowadząca działania szpiegowskie i charakteryzującą się średnim poziomem zdolności technologicznych. Ich pierwsze działania odnotowano na początku 2013 roku, chociaż południowokoreańskie źródła twierdzą, że miało to miejsce nawet wcześniej w 2009 roku. Początkowo grupa atakowała głównie w Korei Południowej, Japonii, Tajwanie i w Stanach Zjednoczonych. Przede wszystkim zainteresowana była obiektami w sektorze wojskowym, rządowym i przemysłowym.