Kínai kötődésű kémcsoportot fedezet fel a Check Point Research
Biztonság

Kínai kötődésű kémcsoportot fedezet fel a Check Point Research

A Silver Dragon nevű kínai kötődésű kémcsoport kormányzati szervezeteket támad Délkelet-Ázsiában és Európában.

Mark De Leon Szerző: Mark De Leon 2026. március 4. 00:00 1 perc olvasás

A Check Point Research kiberbiztonsági kutatói nemrégiben fedezték fel a Silver Dragon nevű kínai kötődésű kémcsoportot, amely kormányzati szervezeteket támad Délkelet-Ázsiában és Európában. A csoport 2024 közepe óta aktív, és APT41-hez hasonló taktikákat használ.

Célpontok

Főként délkelet-ázsiai kormányzati minisztériumokat és közszféra szervezeteket céloz meg, de európai áldozatokat is azonosítottak. A támadások kémkedési célúak, hosszú távú hozzáférést biztosítanak érzékeny hálózatokhoz.

Bejutási módok

Két fő módszer: nyilvános szerverek exploitálása és célzott phishing kampányok, pl. üzbegisztáni kormányzati hivataloknak álcázott e-mailek rosszindulatú csatolmányokkal. A fertőzésláncok gyakran RAR archívumokkal indulnak, amelyek batch szkripteket tartalmaznak.

Perzisztencia és eszközök

Legitim Windows szolgáltatásokat (pl. Windows Update, Bluetooth szolgáltatás) hijack-elnek, hogy a malware ne tűnjön fel. Kulcsfontosságú eszközök: GearDoor backdoor (Google Drive-on keresztüli C2 kommunikáció), SilverScreen (képernyőkép-figyelő), SSHcmd (távoli parancsfuttatás).

GearDoor

A GearDoor egy .NET alapú backdoor malware, amelyet a Silver Dragon APT csoport használ Google Drive-on keresztüli C2 kommunikációra. Ez lehetővé teszi a támadók számára a parancsok álcázott továbbítását és eredmények letöltését legitim felhőforgalomként.

Fő működési lépések

  • Egyedi azonosító generálás: A gépnév SHA-256 hashéből GUID-szerű azonosítót készít, ezzel dedikált Google Drive mappát hoz létre a kommunikációhoz.​
  • Hitelesítés és heartbeat: Bejelentkezés után feltölti a rendszerinfót tartalmazó heartbeat fájlt (.png végződéssel), pl. MachineGUID, hostname, IP, OS verzió, process ID stb., DES titkosítással.
  • Konfiguráció: Windows Registry-ből olvassa a beállításokat (pl. C2 fiók), egyébként hardcoded értékeket használ; Brainfuck obfuscationnel védett stringek.

Parancs végrehajtás
Fájlnevekből (.png, .doc stb.) ismeri fel a feladatokat (pl. fájllista, parancs futtatás), végrehajtja őket, eredményt titkosítva feltölti Drive-ra. Ez kiküszöböli a hagyományos hálózati detektálást, mivel normál cloud forgalomnak tűnik.

A GearDoor backdoor detektálható IOC-k (indikátorok) keresésével, viselkedési analízissel és hálózati forgalom monitorozásával, mivel Google Drive-on keresztüli kommunikációja álcázza a C2-t. Távolításához törölni kell a fájlokat, registry bejegyzéseket és szolgáltatásokat, majd teljes rendszerellenőrzést végezni.

TAGEK itlife it hírek Check Point Research Silver Dragon EU Windows Bluetooth hijack malware GearDoor backdoor
MEGOSZTÁS
HIRDETÉS
Thermaltake TR100 számítógépház
ELŐZŐ CIKK Milyen etikai kihívásokat vet fel a deepfake-technológi...
KÖVETKEZŐ CIKK Felszámolták a RedVDS kiberbűnözői hálózatot

Hozzászólások

Még nincs hozzászólás. Legyél az első!

További érdekes cikkek

Milyen etikai kihívásokat vet fel a deepfake-technológia?
Biztonság
Milyen etikai kihívásokat vet fel a deepfake-technológia?
szerző: MARK DE LEON 2026. március 24.
Felszámolták a RedVDS kiberbűnözői hálózatot
Biztonság
Felszámolták a RedVDS kiberbűnözői hálózatot
szerző: MARK DE LEON 2026. március 4.
Windows Hello funkció ismertetése
Biztonság
Windows Hello funkció ismertetése
szerző: MARK DE LEON 2026. március 4.