Kampanja je bila usmjerena na američke vladine institucije, istraživačke centre i akademske entitete povezane sa odnosima SAD-Kina, međunarodnom trgovinom i ekonomskom politikom.
Kineska APT grupa hakera ciljala je entitete uključene u odnose SAD-Kina, ekonomsku politiku i međunarodnu trgovinu u novoj phishing kampanji, izvještava Proofpoint.
Napadi, zabilježeni tokom jula i avgusta 2025. godine, pokušali su da uspostave Visual Studio (VS Code) remote tunnel za trajni daljinski pristup kompromitovanim okruženjima, umjesto oslanjanja na klasični maliciozni softver.
Kampanja je pripisana TA415, kineskoj državno sponzorisanoj hakerskoj grupi poznatoj i kao APT41, Barium, Brass Typhoon, Bronze Atlas, Wicked Panda i Winnti, protiv koje je SAD podigao optužnicu 2020. godine. Cilj napada bile su američke vladine institucije, think tank i akademske organizacije.
Početkom jula, hakeri su poslali email poruke koje su lažno prikazivale Američko-kineski poslovni savjet, navodno pozivajući primaoce na zatvoreni brifing o odnosima Sjedinjenih Država sa Kinom i Tajvanom.
Kasnije email poruke, navodi Proofpoint, predstavljale su se kao da ih šalje John Moolenaar, predsjednik Odbora za strateško nadmetanje između SAD-a i Komunističke partije Kine, tražeći komentare na nacrt zakona o sankcijama protiv Kine. The Wall Street Journal je ranije ovog mjeseca izvijestio o lažnom predstavljanju Moolenaara, ali tada nisu bili dostupni tehnički detalji.
Phishing poruke sadržavale su linkove ka arhivama zaštićenim lozinkom, hostovanim na poznatim cloud servisima, koje su uključivale LNK prečicu i skrivenu podfolder strukturu. Pokretanjem LNK fajla aktivirao bi se batch skript smješten u skrivenom folderu i lažni PDF fajl hostovan na OneDrive-u.
Izvršavanje skripta pokretalo je višestepeni proces infekcije u kojem se sa Microsoft servera preuzimao VSCode Command Line Interface (CLI), kreirao se zakazani zadatak radi trajnosti i uspostavljao VS Code remote tunnel autentifikovan preko GitHub-a.
Skript je takođe prikupljao informacije o sistemu i sadržaje različitih korisničkih direktorijuma, koje je slao hakerima.
U novijim napadima, skript je dodatno slao i verifikacioni kod za VS Code remote tunnel, koji je haker koristio da dobije daljinski pristup računaru žrtve i izvršava proizvoljne komande kroz ugrađeni terminal Visual Studija.
TA415 djeluje iz Čengdua, Kina, kao privatni državni kontraktor pod imenom Chengdu 404 Network Technology, a povezan je i sa drugim privatnim firmama, uključujući i-Soon.
„Mnogi od ciljanih entiteta su u skladu sa poznatim prioritetima kineskog obavještajnog prikupljanja. Međutim, posebno je značajno vrijeme kada je TA415 usmjerio pažnju na ove mete, imajući u vidu kompleksnu evoluciju ekonomskih i spoljnopolitičkih odnosa između Kine i Sjedinjenih Država“, navodi Proofpoint.
Izvor: SecurityWeek