Sofisticirana APT grupa poznata kao “NightEagle” (APT-Q-95) sprovodi ciljane napade na kritične tehnološke sektore Kine još od 2023. godine. Ova grupa je pokazala izuzetne sposobnosti u iskorištavanju ranije nepoznatih ranjivosti u Exchange sistemima i u implementaciji prilagodljivog malvera, čiji je cilj krađa osjetljivih obavještajnih podataka. Na meti su im visokotehnološke kompanije, proizvođači čipova i poluprovodnika, firme koje se bave kvantnom tehnologijom, razvojni programeri umjetne inteligencije te organizacije iz vojne industrije.
Ključne tačke izvještaja naglašavaju da NightEagle koristi neotkrivene ranjivosti u Exchange serverima za krađu ključnih akreditacija sistema i implementaciju malvera rezidentnog u memoriji, što otežava njegovo otkrivanje. Operišu sa značajnim finansijskim sredstvima, koristeći namjenske domene za napade na svakog cilja, koji se u mirovanju rezoluiraju na lokalne IP adrese (127.0.0.1). Od 2023. godine, njihova meta su kineski visokotehnološki sektori, a već skoro godinu dana uspješno izdvajaju elektronsku poštu. Fiksni vremenski raspored napada, od 21 sat do 6 sati po pekinškom vremenu, sugerira porijeklo iz zapadne vremenske zone, verovatno Sjeverne Amerike, te geopolitički motivisano ciljanje.
Grupa posjeduje napredni okvir za eksploataciju ranjivosti “nultog dana”. Prema riječima Qian Pangua, NightEagle raspolaže kompletnim arsenalom oružja za eksploataciju nepoznatih ranjivosti u Exchange sistemima, ciljajući visokotehnološke kompanije, proizvođače čipova, firme za kvantnu tehnologiju, AI developere i vojne industrijske subjekte. Njihova metodologija napada se zasniva na iskorištavanju nedokumentovanih ranjivosti nultog dana kako bi stekli pristup “machineKey” Exchange servera, omogućavajući operacije deseralizacije za implantaciju malvera na odgovarajuće verzije Exchange sistema.
Prva faza napada podrazumijeva implementaciju prilagođenog malvera porodice Chisel, kompajliranog u Go programskom jeziku, koji se izvršava komandom. Ovo uspostavlja SOCKS veze preko porta 443 sa komandno-kontrolnom infrastrukturom, koristeći hardkodirane parametre autentifikacije za održavanje postojanosti.
Najsofisticiranije oružje grupe uključuje malver rezidentan u memoriji koji funkcioniše isključivo u RAM-u, bez upisivanja na disk, čime izbjegava tradicionalne antivirusne mehanizme detekcije. Mehanizam napada koristi ASP.NET predkompajlirani DLL “loader” nazvan App_Web_cn*.dll, koji kreira virtuelne URL direktorijume u formatima kao što su ~/auth/lang/cn*.aspx i ~/auth/lang/zh.aspx unutar IIS servisa Exchange servera. Nakon primanja zahtjeva na ove virtuelne direktorijume, malver u memoriji traži “App_Web_Container_1” sklop, locira zlonamjernu klasu funkcija “App_Web_8c9b251fb5b3” i izvršava primarnu funkciju “AppWebInit”. Ova napredna tehnika ubrizgavanja omogućava napadačima održavanje postojanog pristupa izbjegavajući forenzičku detekciju zasnovanu na datotekama.
Grupa demonstrira izvanrednu operativnu sigurnost koristeći namjenske domene za napade na svakog pojedinačnog cilja, sa identifikovanim indikatorima kompromitisa (IoCs) kao što su synologyupdates.com, comfyupdate.org, coremailtech.com i fastapi-cdn.com. Registracija domena dosljedno koristi Tucows kao registrar, dok DNS rezolucija tokom aktivnih kampanja ukazuje na infrastrukturu hostovanu kod provajdera DigitalOcean, Akamai i The Constant Company.
Patterni napada grupe NightEagle ukazuju na visoko organizovanog aktera prijetnje koji operiše po dosljednom rasporedu od 21 sat do 6 sati po pekinškom vremenu, što sugerira operacije iz zapadne 8. vremenske zone, vjerovatno Sjeverne Amerike. Strategija ciljanja grupe prilagođava se geopolitičkim događajima i sve se više fokusira na kinesku industriju velikih jezičkih modela u oblasti umjetne inteligencije, iskorištavajući ranjivosti u sistemima koji koriste alate poput ComfyUI za AI aplikacije.
Analiza otkriva da je NightEagle uspješno iznio osjetljive podatke elektronske pošte iz ciljanih organizacija skoro godinu dana, pokazujući sposobnost grupe za dugoročne operacije prikupljanja obavještajnih podataka. Značajni finansijski resursi aktera prijetnje omogućavaju nabavku opsežne mrežne infrastrukture, uključujući brojne VPS servere i domene za svaku kampanju.
