Sofisticirana APT grupa, poznata kao “NightEagle” (APT-Q-95), od 2023. godine sprovodi ciljane napade na ključne tehnološke sektore u Kini. Ova grupa pokazala je izuzetne sposobnosti u iskorištavanju nepoznatih ranjivosti u Exchange sistemima i uvođenju prilagodljivog malvera, čiji je cilj krađa osjetljivih obavještajnih podataka. Na meti su im visokotehnološke kompanije, proizvođači čipova i poluprovodnika, firme za kvantne tehnologije, razvojni programeri vještačke inteligencije, te organizacije vojne industrije.
Ključne informacije iz izvještaja govore da NightEagle koristi nepoznate ranjivosti Exchangea za krađu vjerodajnica i uvođenje malvera koji se pokreće u memoriji, čime izbjegava otkrivanje. Grupa raspolaže značajnim finansijskim sredstvima, koristeći posebne domene za napade na svakog cilja, koji se pasivno povezuju na lokalne IP adrese (127.0.0.1) kada nisu aktivni. Njihovo djelovanje, koje je fokusirano na kineske visokotehnološke sektore poput AI, kvantnih tehnologija, poluprovodnika i vojske, traje od 2023. godine, s gotovo godišnjim izvozom elektronske pošte. Fiksno radno vrijeme od 21:00 do 6:00 po pekinškom vremenu ukazuje na porijeklo iz zapadnog vremenskog pojasa (vjerojatno Sjeverne Amerike), te na geopolitički motivirane ciljeve.
NightEagle operiše sa potpunim arsenalom oružja za iskorištavanje nepoznatih ranjivosti u Exchange sistemima. Njihov pristup cilja na visokotehnološke kompanije, proizvođače čipova i poluprovodnika, firme za kvantne tehnologije, razvojne programere vještačke inteligencije i subjekte vojne industrije. Metodologija napada grupe usredsređena je na eksploataciju neobjavljenih ranjivosti nultog dana kako bi se dobila “machineKey” Exchange servera. To im omogućava operacije deseralizacije, čime se omogućava ubacivanje malvera u odgovarajuće verzije Exchangea.
Nakon početne faze, slijedi uvođenje prilagođenog malvera iz porodice “Chisel”, kompajliranog u Go programskom jeziku. Ovaj malver se izvršava putem specifičnih komandi i uspostavlja SOCKS veze preko porta 443 prema komandnoj i kontrolnoj infrastrukturi. Pritom koristi ugrađene parametre za autentifikaciju radi održavanja postojanosti.
Najsofisticiranije oružje grupe je malver koji se pokreće isključivo u RAM-u, bez ostavljanja traga na disku, čime uspješno izbjegava standardne antivirusne zaštite. Mehanizam napada koristi ASP.NET prekompajlirani DLL loader, označen kao App_Web_cn*.dll. Ovaj loader kreira virtuelne URL direktorijume u formatima kao što su ~/auth/lang/cn*.aspx i ~/auth/lang/zh.aspx unutar IIS servisa Exchange servera. Kada primi zahtjeve na te virtuelne direktorijume, memorijski malver traži “App_Web_Container_1” sklop i locira zlonamjernu funkciju klase “App_Web_8c9b251fb5b3”, a zatim pokreće primarnu funkciju “AppWebInit”. Ova napredna tehnika ubrizgavanja omogućava napadačima da zadrže postojan pristup, a ujedno i izbjegnu forenzičku detekciju na osnovu tragova na disku.
Grupa pokazuje izuzetnu operativnu sigurnost kroz korištenje namjenskih domena za napad na svakog cilja. Indikatori kompromitacije (IoCs) uključuju domene poput synologyupdates.com, comfyupdate.org, coremailtech.com i fastapi-cdn.com. Registracija domena se konzistentno vrši preko Tucows registratora, a DNS rezolucija tokom aktivnih kampanja ukazuje na infrastrukturu hostovanu kod DigitalOcean, Akamai i The Constant Company.
Uzorci napada grupe NightEagle otkrivaju visoko organizovanog aktera prijetnje koji djeluje po dosljednom rasporedu od 21:00 do 6:00 po pekinškom vremenu, što sugerira operacije iz zapadnog vremenskog pojasa, najvjerovatnije iz Sjeverne Amerike. Njihova strategija ciljanja prilagođava se geopolitičkim događajima, s rastućim fokusom na industriju velikih modela vještačke inteligencije u Kini, iskorištavajući ranjivosti u sistemima koji koriste alate poput ComfyUI za AI aplikacije.
Analiza je pokazala da je NightEagle uspješno iznio osjetljive podatke elektronske pošte iz ciljanih organizacija skoro godinu dana, demonstrirajući sposobnost grupe za dugoročne operacije prikupljanja obavještajnih podataka. Značajna finansijska sredstva kojima raspolaže akter prijetnje omogućavaju nabavku opsežne mrežne infrastrukture, uključujući brojne VPS servere i domene za svaku kampanju.