Pojava sofisticirane kampanje kibernetičkih napada usmjerene na južnokorejske web servere rezultirala je postavljanjem zlonamjernog softvera MeshAgent i SuperShell od strane napadača, čime su ugrožene Windows i Linux infrastrukture. Ovaj napad, koji se odvija na više platformi, ukazuje na povećanje složenosti napada, jer iskorištava ranjivosti u učitavanju datoteka radi uspostavljanja trajne prisutnosti u raznolikim serverskim okruženjima. Kampanja predstavlja značajan pomak u taktici eksploatacije web servera, gdje napadači prvo stiču pristup putem ranjivih mehanizama za učitavanje datoteka, a zatim raspoređuju niz alata za izviđanje i održavanje prisutnosti.
Postoje naznake da napadači nastavljaju operacije na Windows IIS serverima i Linux sistemima, što ukazuje na dobro financiranu operaciju sa sposobnostima unakrsne platforme koje obuhvaćaju više arhitektura operativnih sistema. Analiza je otkrila prisustvo ELF zlonamjernog softvera uz tradicionalne Windows izvršne datoteke na zlonamjernim distribucijskim tačkama, potvrđujući namjeru napadača da kompromituju heterogena serverska okruženja. Otkriveno spremište zlonamjernog softvera uključuje WogRAT, backdoor koji dijeli infrastrukturu s prethodnim napadačkim kampanjama, sugerirajući operativni kontinuitet iste grupe napadača preko više vektora napada. Analitičari ASEC-a identificirali su više web shell-ova raspoređenih na kompromitiranim sistemima, uključujući popularne varijante kao što su Chopper, Godzilla i ReGe-ORG. Istraživači su primijetili da ovi alati, u kombinaciji s kineskim alatima za izviđanje poput Fscan i Ladon, snažno upućuju na prisustvo kineskih napadača koji orkestriraju kampanju kroz koordinisano upravljanje infrastrukturom.
Mehanizam infekcije i ciljanje na više platformi odvijaju se sistematski, počevši postavljanjem web shell-ova putem ranjivosti u učitavanju datoteka u konfiguracijama web servera. Nakon uspostavljanja, napadači izvršavaju sveobuhvatne komande za izviđanje kako bi mapirali ciljno okruženje i identificirali potencijalne prilike za bočno kretanje, koristeći komande poput ipconfig, whoami /all, systeminfo, netstat -ano i fscan.exe -hf i.txt -nocolor -silent -o rr8.txt. Nakon početnog izviđanja, napadači raspoređuju SuperShell, alat za obrnuti shell napisan u Go jeziku koji podržava Windows, Linux i Android platforme. Ova sposobnost unakrsne platforme omogućava ujedinjenu kontrolu i komandovanje preko različitih infrastrukturnih komponenti, istovremeno održavajući operativnu fleksibilnost. Zlonamjerni softver uspostavlja trajnu prisutnost putem MeshAgent-a, koji pruža sveobuhvatne funkcije daljinskog upravljanja, uključujući prijenos datoteka, izvršavanje komandi i daljinski pristup radnoj površini putem weba. Esekalacija privilegija događa se izvršavanjem PowerLadon-a, specifično iskorištavajući tehniku SweetPotato za manipulaciju tokenima, koristeći naredbu powershell -exec bypass Import-Module .\Ladon.ps1;Ladon SweetPotato whoami. Napadači naknadno vrše bočno kretanje koristeći ukradene vjerodajnice i WMIExec, ciljajući dodatne sisteme, uključujući MS-SQL servere unutar kompromitiranog mrežnog perimetra. Ovaj metodički pristup pokazuje karakteristike naprednih trajnih prijetnji, pri čemu krajnji cilj ostaje neutvrđen, ali potencijalno uključuje izvoz osjetljivih podataka ili postavljanje ransomware-a preko organizacijske infrastrukture.
