گروه هکری مرتبط با چین که اخیراً از آسیب‌پذیری بحرانی SAP NetWeaver سوءاستفاده کرده، در حملات گسترده‌تری علیه سازمان‌های برزیل، هند و آسیای جنوب شرقی از سال ۲۰۲۳ دست داشته است.

جوزف سی چن، محقق امنیتی شرکت ترند مایکرو، در تحلیلی که این هفته منتشر شد، گفت: «این گروه تهدید عمدتاً آسیب‌پذیری‌های تزریق SQL کشف‌شده در برنامه‌های وب را هدف قرار می‌دهد تا به سرورهای SQL سازمان‌های هدف دسترسی پیدا کند. این بازیگر همچنین از آسیب‌پذیری‌های شناخته‌شده مختلف برای سوءاستفاده از سرورهای عمومی بهره می‌برد.»

اهداف برجسته دیگر این گروه شامل اندونزی، مالزی، فیلیپین، تایلند و ویتنام است. ترند مایکرو این فعالیت را با نام Earth Lamia ردیابی می‌کند و اعلام کرده که این فعالیت‌ها با گروه‌های تهدیدی که توسط Elastic Security Labs به عنوان REF0657، Sophos به عنوان STAC6451 و Palo Alto Networks Unit 42 به عنوان CL-STA-0048 مستند شده‌اند، همپوشانی دارد.

این حملات سازمان‌های مختلف در آسیای جنوبی را هدف قرار داده و اغلب از سرورهای Microsoft SQL در معرض اینترنت برای شناسایی، استقرار ابزارهای پس از نفوذ مانند Cobalt Strike و Supershell، و ایجاد تونل‌های پروکسی به شبکه‌های قربانی با استفاده از Rakshasa و Stowaway بهره می‌برند.

ابزارهای دیگری که استفاده می‌شوند شامل ابزارهای ارتقای دسترسی مانند GodPotato و JuicyPotato، ابزارهای اسکن شبکه مانند Fscan و Kscan، و برنامه‌های قانونی مانند wevtutil.exe برای پاک کردن گزارش‌های رویداد Windows هستند.

برخی نفوذهای هدفمند به نهادهای هندی تلاش کرده‌اند باج‌افزار Mimic را برای رمزگذاری فایل‌های قربانیان مستقر کنند، اگرچه این تلاش‌ها عمدتاً ناموفق بوده‌اند. Sophos در تحلیلی که در آگوست ۲۰۲۴ منتشر کرد، اشاره کرد: «در حالی که بازیگران در تمام حوادث مشاهده‌شده در حال آماده‌سازی باج‌افزار Mimic بودند، این باج‌افزار اغلب با موفقیت اجرا نشد و در موارد متعدد، بازیگران پس از استقرار تلاش کردند فایل‌ها را حذف کنند.»

اوایل این ماه، EclecticIQ فاش کرد که CL-STA-0048 یکی از گروه‌های جاسوسی سایبری متعدد مرتبط با چین بود که از CVE-2025-31324، یک آسیب‌پذیری بحرانی آپلود فایل بدون احراز هویت در SAP NetWeaver، برای ایجاد shell معکوس به زیرساخت تحت کنترل خود سوءاستفاده کرد.

علاوه بر CVE-2025-31324، این گروه هکری از هشت آسیب‌پذیری مختلف برای نفوذ به سرورهای عمومی استفاده کرده است:

• CVE-2017-9805: آسیب‌پذیری اجرای کد از راه دور Apache Struts2
• CVE-2021-22205: آسیب‌پذیری اجرای کد از راه دور GitLab
• CVE-2024-9047: آسیب‌پذیری دسترسی دلخواه به فایل در افزونه WordPress File Upload
• CVE-2024-27198: آسیب‌پذیری دور زدن احراز هویت JetBrains TeamCity
• CVE-2024-27199: آسیب‌پذیری path traversal در JetBrains TeamCity
• CVE-2024-51378: آسیب‌پذیری اجرای کد از راه دور CyberPanel
• CVE-2024-51567: آسیب‌پذیری اجرای کد از راه دور CyberPanel
• CVE-2024-56145: آسیب‌پذیری اجرای کد از راه دور Craft CMS

ترند مایکرو با توصیف این گروه به عنوان «بسیار فعال»، اشاره کرد که این بازیگر تهدید تمرکز خود را از خدمات مالی به لجستیک و خرده‌فروشی آنلاین، و اخیراً به شرکت‌های فناوری اطلاعات، دانشگاه‌ها و سازمان‌های دولتی تغییر داده است.

شرکت گفت: «در اوایل ۲۰۲۴ و قبل از آن، مشاهده کردیم که بیشتر اهداف آنها سازمان‌هایی در صنعت مالی، به‌ویژه مرتبط با اوراق بهادار و کارگزاری بودند. در نیمه دوم ۲۰۲۴، آنها اهداف خود را به سازمان‌هایی عمدتاً در صنایع لجستیک و خرده‌فروشی آنلاین تغییر دادند. اخیراً متوجه شدیم که اهداف آنها دوباره به شرکت‌های فناوری اطلاعات، دانشگاه‌ها و سازمان‌های دولتی تغییر یافته است.»

یک تکنیک قابل توجه که Earth Lamia اتخاذ کرده، راه‌اندازی درب‌های پشتی سفارشی خود مانند PULSEPACK از طریق DLL side-loading است، رویکردی که به طور گسترده توسط گروه‌های هکری چینی پذیرفته شده است. PULSEPACK یک ایمپلنت مدولار مبتنی بر NET. است که با سرور راه دور ارتباط برقرار می‌کند تا پلاگین‌های مختلف را برای انجام عملکردهایش دریافت کند.

ترند مایکرو گفت که در مارس ۲۰۲۵ نسخه به‌روزشده‌ای از این درب پشتی را مشاهده کرد که روش ارتباط فرماندهی و کنترل (C2) را از TCP به WebSocket تغییر می‌دهد، که نشان‌دهنده توسعه فعال و مداوم این بدافزار است.

نتیجه‌گیری: «Earth Lamia عملیات خود را در کشورها و صنایع متعدد با نیات تهاجمی انجام می‌دهد. در عین حال، این بازیگر تهدید به طور مداوم تاکتیک‌های حمله خود را با توسعه ابزارهای هک سفارشی و درب‌های پشتی جدید اصلاح می‌کند.»