អ្នកស្រាវជ្រាវសន្តិសុខសាយប័របង្ហើបប្រាប់ពីការវាយប្រហាររចនាសម្ព័ន្ធរបស់ក្រុមហេគឃ័ររដ្ឋឈ្មោះ SideWinder ដោយលួចចូលទៅក្នុងអង្គភាពដែលមានទីតាំងនៅក្នុងប្រទេសប៉ាគីស្ថាន និងចិន។បើយោងតាមសំដីរបស់ក្រុមហ៊ុន Group-IB and Bridewell ឱ្យដឹងថា ក្រុមហេគឃ័រប្រើការសម្របសម្រួលបណ្តាញណែតវករបស់ 55 domains និង IP addresses។ អ្នកស្រាវជ្រាវក៏ថ្លែងថា ហេគឃ័របន្លំអត្តសញ្ញាណ domains របស់អង្គភាពសារព័ត៌មាន រដ្ឋាភិបាល ទូរគមនាគមន៍ និងស្ថាប័នហិរញ្ញវត្ថុ ។
ក្រុមហេគឃ័រ SideWinder មានសកម្មភាពតាំងពីឆ្នាំ២០១២ ហើយប្រើអុីម៉ែលបញ្ឆោត (spear-phishing) សម្រាប់ឈ្លានពានចូលទៅកាន់មជ្ឈដ្ឋានគោលដៅ។ គោលដៅនៃក្រុមនេះត្រូវគេជឿថាទាក់ទងនឹងចារកម្មឥណ្ឌា។ ប្រទេសជាគោលដៅរួមមាន ប៉ាគីស្ថាន ឥណ្ឌា ស្រីលង្កា អាហ្គានីស្ថាន បង់ក្លាដែស មីយ៉ាន់ម៉ា ហ្វីលីពីន ហ្គាតា និងសិង្ហបូរី។
កាលពីដើមខែកុម្ភៈ ក្រុមហ៊ុន Group-IB បង្ហាញពីក្រុមហេគឃ័រ SideWinder ថាប្រហែលជាមានគោលដៅលើស្ថាប័នចំនួន៦១ រួមមានរដ្ឋាភិបាល កងទ័ព អ្នកអនុវត្តច្បាប់ និងអង្គការអាស៊ីជាច្រើនទៀតចាប់ពីពាក់កណ្តាលឆ្នាំ ដល់ចុងឆ្នាំ២០២១។ នាពេលថ្មីៗនេះ ក្រុមហេគឃ័រជាតិត្រូវគេតាមដាន ហើយដឹងថាក្រុមនេះប្រើ polymorphism មានមូលដ្ឋានលើម៉ាស៊ីនមេ សម្រាប់វាយប្រហារលើអង្គភាពរដ្ឋាភិបាលប៉ាគីស្ថាន។ ថ្មីៗនេះ មានការត្រាប់តាមដូមិនរដ្ឋាភិបាលប្រទេសប៉ាគីស្ថាន ចិន និងឥណ្ឌា ដោយប្រើតម្លៃដូចគ្នានៅក្នុងការកត់ត្រា WHOIS។ ក្រុមនេះបង្ហោះឯកសារដែលមានប្រធានបទទាក់ទងនឹងរដ្ឋាភិបាលនៅលើដូមិន ដើម្បីបញ្ឆោតឱ្យជនរងគ្រោះដោនឡូត និងបង់ប្រាក់នៅដំណាក់កាលបន្ទាប់។ ឯកសារភាគច្រើន uploads នៅលើគេហទំព័រ VirusTotal កាលពីខែមីនា ឆ្នាំ២០២៣ ពីប្រទេសប៉ាគីស្ថាន។
ឯកសារ LNK ដែល uploads នៅលើគេហទំព័រ VirusTotal ត្រូវរកឃើញថាចេញពីប៉េកាំង កាលពីចុងឆ្នាំ២០២២។ ឯកសារ LNK ត្រូវបង្កើតឡើងសម្រាប់ដំណើរការកម្មវិធី HTML app (HTA) ទទួលពីម៉ាសុីនមេដែលបន្លំជាប្រព័ន្ធអុីម៉ែលរបស់សកលវិទ្យាល័យ Tsinghua (mailtsinghua.sinacn[.]co)។ ឯកសារ LNK ផ្សេងដែល upload នៅលើគេហទំព័រ VirusTotal នៅពេលដំណាលគ្នាពីទីក្រុង Kathmandu ក៏បន្លំដើម្បីទាញយកឯកសារ HTA ចេញពីដូមិនក្លែងបន្លំជាគេហទំព័ររដ្ឋាភិបាលនេប៉ាល់ (mailv.mofs-gov[.]org) ដែរ។ ជាងនេះទៀត ក៏មានការស៊ើបអង្កេតលើរចនាសម្ព័ន្ធក្រុម SideWinder ហើយក៏រកឃើញឯកសារមេរោគ Android (APK file (226617)) ដែលត្រូវ upload នៅលើគេហទំព័រ VirusTotal ពីប្រទេសស្រីលង្កា កាលពីខែមីនា ឆ្នាំ២០២៣។
កម្មវិធី Android ក្លែងបន្លំហាក់ដូចជា “Ludo Game” ជម្រុញឱ្យអ្នកប្រើផ្តល់សិទ្ធិឱ្យវាចូលប្រើ contact, ទីតាំង, phone logs, សារ SMS និងប្រតិទិន ដែលអាចប្រមូលព័ត៌មានសំខាន់ៗ។ ក្រុមហ៊ុន Group-IB ថ្លែងថា app ក៏បង្ហាញពីកម្មវិធី Secure VNP ក្លែងក្លាយ កាលពីពាក់កណ្តាលឆ្នាំ២០២២ ដែលមានគោលដៅលើប្រព័ន្ធទិសដៅចរាចរ (traffic direction system (TDS)) ឬ AntiBot នៅក្នុងប្រទេសប៉ាគីស្ថាន។ សរុបមក មេរោគ SideWinder មានគោលដៅលើស្ថាប័នហិរញ្ញវត្ថុ រដ្ឋាភិបាល និងអង្គភាពអនុវត្តច្បាប់ ក៏ដូចជាក្រុមហ៊ុនពាណិជ្ជកម្មនិងប្រព័ន្ធផ្សព្វផ្សាយអេឡិចត្រូនិច នៅក្នុងប្រទេសប៉ាគីស្ថាន និងចិន។ អ្នកស្រាវជ្រាវបន្ថែមថា ក្រុមហេគឃ័រ SideWinder ដូចគ្នានឹងក្រុម APT ផ្សេងដែរ គឺវាប្រើអុីម៉ែលបញ្ឆោត (spear-phishing)។ ដូច្នេះ វាសំខាន់ណាស់សម្រាប់អង្គភាពដែលត្រូវតែមានដំណោះស្រាយការពារអុីម៉ែលអាជីវកម្មខ្លួនឱ្យរឹងមាំ ជៀសពីការព្យាបាទ៕
