ហេគឃ័រដែលមានមូលដ្ឋាននៅប្រទេសចិនឈ្មោះ Emperor Dragonfly ជាទូទៅមានទំនាក់ទំនងនឹងកិច្ចការឧក្រិដ្ឋជនសាយប័រ ត្រូវបានមើលឃើញថា បានប្រើប្រាស់ការវាយប្រហារមេរោគចាប់ជម្រិតសម្រាប់ជួយក្រុមចារកម្ម។
ហេគឃ័របានដាក់ពង្រាយមេរោគចាប់ជម្រិត RA World ប្រឆាំងនឹងក្រុមហ៊ុនសេវាកម្ម និងកម្មវិធី Asian ព្រមទាំងបានជម្រិតទារប្រាក់លោះ ២លានដុល្លារ។ អ្នកស្រាវជ្រាវមកពី Symantec’s Threat Hunter Team បានមើលឃើញសកម្មភាពនេះកើតឡើងនៅចុងឆ្នាំ២០២៤ និងបញ្ជាក់ពីភាពស្រដៀងគ្នាដ៏មានឥទ្ធិពលរវាងក្រុមចារកម្មសាយប័រដែលគាំទ្រដោយរដ្ឋាភិបាល និងក្រុមឧក្រិដ្ឋកម្មសាយប័រដែលគាំទ្រដោយហិរញ្ញវត្ថុ។
អ្នកស្រាវជ្រាវថ្លែងថា នៅអំឡុងនៃការវាយប្រហារចុងឆ្នាំ២០២៤ ហេគឃ័របានដាក់ពង្រាយមេរោគចាប់ជម្រិតដាច់ដោយឡែក ដែលត្រូវបានប្រើប្រាស់កាលពីមុនដោយក្រុមហេគឃ័រចិននៅក្នុងការវាយប្រហារចារកម្ម និងបានបន្ថែមថា Tools ទាំងនេះជាប់ពាក់ព័ន្ធនឹងក្រុមចារកម្មចិនដែលតែងតែប្រើសម្រាប់ចែកចាយធនធាន ប៉ុន្តែមិនមែនជាសាធារណៈ និងមិនជាប់ទាក់ទងនឹងសកម្មភាពឧក្រិដ្ឋកម្មសាយប័រនោះទេ។ នៅក្នុងរបាយការណ៍កាលពីពាក់កណ្តាលឆ្នាំ២០២៤ Palo Alto Networks’ Unit 42 បានឱ្យដឹងថា ក្រុម Emperor Dragonfly (aka Bronze Starlight) ប្រហែលជាមានទំនាក់ទំនងជាមួយនឹង RA World ទោះបីជាមិនសូវច្បាស់ក៏ដោយ។ យោងតាមអ្នកស្រាវជ្រាវបានឱ្យដឹងថា ក្រុម RA World ចេញមកពីក្រុម RA Group និងបានបង្កើតឡើងនៅឆ្នាំ២០២៣ ជាក្រុមគ្រួសារដែលមានមូលដ្ឋាននៅ Babuk។
ពីសកម្មភាពចារកម្មទៅជាការចាប់ជម្រិត៖ នៅចន្លោះពាក់កណ្តាលឆ្នាំ២០២៤ ទៅដើមឆ្នាំ២០២៥ ក្រុមចារកម្មដែលមានមូលដ្ឋាននៅប្រទេសចិនមានគោលដៅលើក្រសួងរដ្ឋាភិបាល និងប្រតិបត្តិករទូរគមនាគមន៍នៅអឺរ៉ុប រួមទាំងអាស៊ីបូព៌ា ក្នុងគោលបំណងដើម្បីសម្ងំលាក់ខ្លួនបានយូរ។ នៅក្នុងការវាយប្រហារទាំងនេះ អញ្ញត្តិជាក់លាក់របស់ PlugX (Korplug) backdoor ត្រូវបានដាក់ពង្រាយជាមួយនឹង Toshiba executable (toshdpdb.exe) តាមរយៈ DLL sideloading បូករួមទាំងប្រភេទមេរោគ DLL (toshdpapi.dll)។
ទោះជាយ៉ាងណា ក្រុមហ៊ុន Symantec បានសង្កេតឃើញពីការប្រើប្រាស់របស់ NPS proxy ដែលជា Tool អភិវឌ្ឍដោយប្រទេសចិនបានប្រើសម្រាប់បម្លែងការទាក់ទងបណ្តាញណិតវើក និង RC4-encrypted payloads ផ្សេងទៀត។ នៅចុងឆ្នាំ២០២៤ Korplug payload ដូចគ្នាត្រូវបានប្រើប្រឆាំងនឹងក្រុមហ៊ុនកម្មវិធីអាស៊ីខាងត្បូង។ នៅពេលនេះ វាត្រូវបានតាមពីក្រោយដោយការវាយប្រហារមេរោគចាប់ជម្រិត RA World។ អ្នកវាយប្រហារបានកេងចំណេញលើ Palo Alto PAN-OS (CVE-2024-0012) ដើម្បីទាញយកបណ្តាញណិតវើក និងក្រោយមកប្រើបច្ចេកទេស Sideloading ដូចគ្នា ដែលពាក់ព័ន្ធនឹង Toshiba executable និង DLL file សម្រាប់ដាក់ពង្រាយ Korplug មុនពេលអ៊ីនគ្រីបម៉ាស៊ីន។ ផ្អែកលើភស្តុតាងបានឱ្យដឹងថា ប្រតិបត្តិករសាយប័រដែលគាំទ្រដោយរដ្ឋាភិបាលចិនបានដាក់ចេញការវាយប្រហារចារកម្មនោះប្រហែលជាក្រុម “Moonlight” ដែលជាមេរោគចាប់ជម្រិតសម្រាប់ស្វែងរកប្រាក់ចំណេញផ្ទាល់ខ្លួន។ របាយការណ៍របស់ Symantec រៀបរាប់ពីសូចនាករនៃការវាយប្រហារដើម្បីគ្រប់គ្រង (IoCs) ទាក់ទងទៅនឹងសកម្មភាពដែលត្រូវបានតាមដាន សម្រាប់ជួយអ្នកការពារតាមចាប់ និងរារាំងការវាយប្រហារមុនពេលមានការខូចខាតកើតឡើង។
ប្រភពព័ត៌មាន៖ ថ្ងៃទី១៣ ខែកុម្ភៈ ឆ្នាំ២០២៥
