Uočena je sofisticirana kampanja sajber napada usmjerena na južnokorejske web servere, gdje hakeri raspoređuju maliciozni softver MeshAgent i SuperShell radi kompromitovanja i Windows i Linux infrastrukture. Ova napredna, višestruka akcija ukazuje na eskalaciju složenosti napada, jer napadači koriste ranjivosti u prenosu datoteka kako bi uspostavili trajna uporišta u raznolikim serverskim okruženjima. Ova kampanja predstavlja značajan evolucijski korak u taktikama iskorištavanja web servera, gdje napadači prvo stiču pristup putem ranjivih mehanizama za prenos datoteka, a zatim raspoređuju arsenal alata za izviđanje i održavanje prisutnosti. Postoje dokazi koji ukazuju da hakeri nastavljaju svoje operacije i na Windows IIS serverima i na Linux sistemima, što ukazuje na dobro finansiranu operaciju s mogućnostima djelovanja na više platformi koje obuhvataju različite arhitekture operativnih sistema. Detaljna analiza otkriva prisustvo malicioznog softvera zasnovanog na ELF formatu uz tradicionalne Windows izvršne datoteke na lokacijama malicioznog širenja, potvrđujući namjeru napadača da kompromituju heterogene serverske okoline. Otkriveno skladište malicioznog softvera sadrži WogRAT, backdoor koji dijeli infrastrukturu s prethodnim napadačkim kampanjama, sugerišući operativni kontinuitet iste grupe prijetnji kroz više vektora napada. Analitičari iz ASEC-a su identifikovali više web shell-ova raspoređenih na kompromitovanim sistemima, uključujući popularne varijante kao što su Chopper, Godzilla i ReGe-ORG. Istraživači su primijetili da ovi alati, zajedno s izviđačkim uslužnim programima na kineskom jeziku poput Fscan i Ladon, snažno ukazuju na djelovanje hakera koji govore kineski jezik, a koji organizuju kampanju kroz koordinisano upravljanje infrastrukturom.
Metodologija napada počinje implementacijom web shell-ova putem ranjivosti u prenosu datoteka unutar konfiguracija web servera. Nakon uspostavljanja pristupa, napadači provode sveobuhvatne izviđačke komande kako bi mapirali ciljano okruženje i identifikovali potencijalne mogućnosti za bočno kretanje. Nakon početnog izviđanja, hakeri raspoređuju SuperShell, programski jezik Go koji podržava obrnutu ljusku i radi na platformama Windows, Linux i Android. Ova mogućnost rada na više platformi omogućava objedinjeno upravljanje i kontrolu nad raznolikim infrastrukturnim komponentama, istovremeno održavajući operativnu fleksibilnost. Maliciozni softver uspostavlja trajnu prisutnost putem MeshAgent-a, koji pruža sveobuhvatne funkcije daljinskog upravljanja, uključujući prenos datoteka, izvršavanje naredbi i pristup daljinskoj radnoj površini putem web interfejsa. Povećanje privilegija se postiže izvršavanjem PowerLadon-a, specifično iskorištavajući tehniku SweetPotato za manipulaciju tokenima. Napadači zatim vrše bočno kretanje koristeći ukradene kredencijale i WMIExec, ciljajući dodatne sisteme, uključujući MS-SQL servere unutar kompromitovanog mrežnog perimetra. Ovaj metodički pristup demonstrira karakteristike napredne trajne prijetnje, pri čemu krajnji cilj ostaje neutvrđen, ali potencijalno uključuje eksfiltraciju osjetljivih podataka ili implementaciju ransomware-a širom infrastrukture organizacije.
