経済的に動機付けられたハッカーは、カウンターパートのスパイを支援し、その逆も同様です

木曜日、セキュリティ会社Symantecの科学者は、脅威に関連するSPYグループでのみ観察されていたRA世界ランサムウェアグループの「さまざまなツールセット」を運営する協力について報告しました。

7月に初めてツールセットは、Plugxのバリアントであり、独自のバックドアでした。一連のツールのタイムスタンプは、Thor Plugxバリアントのセキュリティ会社Palo Alto Networkが発見したものと同一でした。これは、Firented、Mustang Panda、Earth Pretaという名前で監視されている中国のスパイグループと会社の科学者を接続しました。このバリアントには、Plugx Type 2バリアントとの類似点もありました。これは、セキュリティ企業のTrend Microによって見つかりました。

同じPlugxバリアントを含む他のスパイ攻撃は、攻撃者がヨーロッパ南東部の政府を脅した8月に登場しました。同じ月に、攻撃者は東南アジアの政府省を脅した。 2024年9月、攻撃者はこの地域の通信事業者を脅し、1月に攻撃者は別の東南アジアの政府省を目指しました。

科学者シマンテックは、この協力の理由について競合する理論を持っています。

この攻撃者がしばらくの間ランサムウェアに関与していた可能性があることを示唆する証拠があります。 RA世界攻撃に関する報告書で、パロアルトは、中国に拠点を置く俳優であるブロンズスターライト（別名皇帝ドラゴンフライ）へのリンクを見つけたと言いました。このランサムウェア攻撃で使用されるツールの1つは、NPSと呼ばれるプロキシツールで、中国に拠点を置く開発者が作成しました。これは以前に星明かりのブロンズを使用していました。一方、Sentineloneは、ブロンズスターライトがロックファイル、アトムシロ、ナイトスキー、ロックビットランサムウェアへの攻撃に関与していると報告しました。

スパイ操作に関連付けられていると思われる俳優がランサムウェア攻撃の成長している理由は明らかではありません。北朝鮮の俳優が財政的に動機付けられた攻撃に参加する脅威における脅威においては珍しいことではありませんが、スパイの脅威における中国の俳優の歴史はなく、この戦略に従う明白な理由はありません。

別の可能性は、ランサムウェアが侵入の証拠をカバーするために使用され、スパイ攻撃の真の性質に注意を引くための餌として機能したことです。ただし、ランサムウェアの展開は、侵入で使用されるツール、特に以前のスパイ攻撃に接続したツールをカバーするのにあまり効果的ではありませんでした。第二に、ランサムウェアの目標は戦略的に重要な組織ではなく、スパイ行為の目的と比較して、遠隔のものでした。攻撃者がキャンペーンの性質をカバーするためにそのような長さに行くことは珍しいようです。最終的に、攻撃者は犠牲者から身代金を真剣に選択し、彼らと時間を過ごしているように見えた。通常、これは、ランサムウェア攻撃が単なる流用であればそうではなかったでしょう。

最も可能性の高いシナリオは、俳優、おそらく1人の個人が、一連の雇用者ツールを使用して側でいくらかのお金を稼ごうとしたことです。

火曜日のMandiant Reportは、犯罪グループによる州のスポンサーマルウェアの使用にも気付きました。科学者はまた、彼らが金銭的利益とスパイへのアクセスを求めて二重のモチーフを持つグループであると信じているものを観察したと述べた。