فعالیت‌های شناسایی و جاسوسی که شرکت امنیت سایبری آمریکایی SentinelOne را هدف قرار داده بود، بخشی از مجموعه گسترده‌تری از نفوذهای مرتبط به چندین هدف بین ژوئیه ۲۰۲۴ تا مارس ۲۰۲۵ بوده است.

محققان امنیتی SentinelOne، الکساندر میلنکوسکی و تام هگل، در گزارشی که امروز منتشر شد اعلام کردند: «قربانیان این حملات شامل یک نهاد دولتی در آسیای جنوبی، یک سازمان رسانه‌ای اروپایی و بیش از ۷۰ سازمان در طیف گسترده‌ای از بخش‌ها هستند.»

بخش‌های هدف قرار گرفته شامل تولید، دولت، مالی، مخابرات و تحقیقات می‌شود. در میان قربانیان، یک شرکت خدمات فناوری اطلاعات و لجستیک نیز حضور داشت که در زمان نفوذ در اوایل سال ۲۰۲۵، مسئول مدیریت لجستیک سخت‌افزار برای کارمندان SentinelOne بود.

این فعالیت‌های مخرب با اطمینان بالا به عوامل تهدید مرتبط با چین نسبت داده شده است. برخی از این حملات به گروه تهدیدی موسوم به PurpleHaze مرتبط هستند که با گروه‌های جاسوسی سایبری چینی شناخته شده به نام‌های APT15 و UNC5174 همپوشانی دارد.

SentinelOne در اواخر آوریل ۲۰۲۴ برای اولین بار فعالیت‌های شناسایی مرتبط با PurpleHaze را که برخی از سرورهایش را هدف قرار داده بود، افشا کرد. این سرورها به دلیل عملکردشان عمداً از طریق اینترنت قابل دسترسی بودند.

محققان گفتند: «فعالیت‌های عامل تهدید محدود به نقشه‌برداری و ارزیابی دسترسی سرورهای منتخب رو به اینترنت بود که احتمالاً در آماده‌سازی برای اقدامات احتمالی آینده انجام شده است.»

در حال حاضر مشخص نیست که آیا قصد مهاجمان فقط هدف قرار دادن سازمان لجستیک فناوری اطلاعات بوده یا قصد داشتند تمرکز خود را به سازمان‌های پایین‌دستی نیز گسترش دهند.

تحقیقات بیشتر درباره این حملات شش خوشه فعالیت مختلف (نامگذاری شده از A تا F) را کشف کرده که به ژوئن ۲۰۲۴ با نفوذ به یک نهاد دولتی ناشناس در آسیای جنوبی برمی‌گردد:

فعالیت A: نفوذ به یک نهاد دولتی آسیای جنوبی (ژوئن ۲۰۲۴)
فعالیت B: مجموعه‌ای از نفوذها به سازمان‌های جهانی (بین ژوئیه ۲۰۲۴ تا مارس ۲۰۲۵)
فعالیت C: نفوذ به یک شرکت خدمات فناوری اطلاعات و لجستیک (ابتدای ۲۰۲۵)
فعالیت D: نفوذ به همان نهاد دولتی آسیای جنوبی (اکتبر ۲۰۲۴)
فعالیت E: فعالیت شناسایی علیه سرورهای SentinelOne (اکتبر ۲۰۲۴)
فعالیت F: نفوذ به یک سازمان رسانه‌ای برجسته اروپایی (اواخر سپتامبر ۲۰۲۴)

حمله ژوئن ۲۰۲۴ علیه نهاد دولتی منجر به استقرار بدافزار ShadowPad شد که با استفاده از ScatterBrain مبهم‌سازی شده بود. آثار و زیرساخت‌های ShadowPad با کمپین‌های اخیر این بدافزار همپوشانی دارد که خانواده باج‌افزاری به نام NailaoLocker را پس از بهره‌برداری از دستگاه‌های گیت‌وی Check Point توزیع کرده‌اند.

متعاقباً در اکتبر ۲۰۲۴، همان سازمان برای استقرار یک پوسته معکوس مبتنی بر Go به نام GoReShell هدف قرار گرفت که از SSH برای اتصال به میزبان آلوده استفاده می‌کند. SentinelOne اشاره کرد که همین درب پشتی در ارتباط با حمله سپتامبر ۲۰۲۴ به یک سازمان رسانه‌ای برجسته اروپایی استفاده شده است.

نکته مشترک دیگر در این دو خوشه فعالیت، استفاده از ابزارهای توسعه یافته توسط تیمی از متخصصان امنیت فناوری اطلاعات است که با نام The Hacker’s Choice (THC) شناخته می‌شوند. این اولین بار است که برنامه‌های نرم‌افزاری THC توسط عوامل دولتی مورد سوءاستفاده قرار می‌گیرند.

SentinelOne فعالیت F را به یک عامل مرتبط با چین با وابستگی‌های سست به یک «دلال دسترسی اولیه» نسبت داده که توسط Google Mandiant با نام UNC5174 (معروف به Uteus یا Uetus) ردیابی می‌شود. این گروه تهدید اخیراً با بهره‌برداری فعال از آسیب‌پذیری‌های SAP NetWeaver برای توزیع GOREVERSE، نوعی از GoReShell، مرتبط شده است.

این شرکت امنیت سایبری به طور جمعی فعالیت‌های D، E و F را به عنوان PurpleHaze ردیابی می‌کند. محققان گفتند: «عامل تهدید از زیرساخت شبکه ORB (جعبه رله عملیاتی) که ارزیابی می‌کنیم از چین اداره می‌شود، استفاده کرد و از آسیب‌پذیری CVE-2024-8963 همراه با CVE-2024-8190 برای ایجاد موطئ پا اولیه، چند روز قبل از افشای عمومی آسیب‌پذیری‌ها، بهره‌برداری کرد.»

پس از به خطر انداختن این سیستم‌ها، مظنون است که UNC5174 دسترسی را به سایر عوامل تهدید منتقل کرده باشد.