Global Research and Analysis Team (GReAT) de la Kaspersky a descoperit o campanie de spionaj cibernetic în desfășurare, denumită PassiveNeuron, care vizează sistemele Windows Server din organizații guvernamentale, financiare și industriale din Asia, Africa și America Latină. Activitatea a fost observată din decembrie 2024 și a continuat până în august 2025.
După o pauză de șase luni, PassiveNeuron și-a reluat operațiunile, folosind trei instrumente principale – două dintre ele fiind anterior necunoscute – pentru a obține și menține accesul la rețelele vizate.
Aceste instrumente sunt:
- Neursite, un backdoor modular;
- NeuralExecutor, un implant bazat pe .NET;
- Cobalt Strike, un framework de testare a penetrării adesea folosit de actorii amenințărilor.
Backdoor-ul Neursite poate colecta informații despre sistem, gestiona procesele în execuție și direcționa traficul de rețea prin gazde compromise, permițând mișcarea laterală în cadrul rețelei. Au fost identificate mostre care comunică atât cu servere externe de comandă și control, cât și cu sisteme interne compromise.
NeuralExecutor este conceput pentru a livra payload-uri suplimentare. Implantul suportă mai multe metode de comunicare și poate încărca și executa assembly-uri .NET primite de la serverul său de comandă și control.
În mostrele observate de GReAT, numele funcțiilor au fost înlocuite cu șiruri care conțin caractere chirilice, aparent introduse intenționat de atacatori. Astfel de artefacte necesită o evaluare atentă în timpul atribuirii, deoarece pot funcționa ca „false flags” menite să inducă în eroare analiștii. Pe baza tacticilor, tehnicilor și procedurilor observate, Kaspersky evaluează cu un grad scăzut de încredere că această campanie este probabil asociată unui actor de limbă chineză. La începutul anului 2024, cercetătorii Kaspersky detectaseră deja activitatea PassiveNeuron și descriseseră campania ca prezentând un nivel ridicat de sofisticare.
Pentru a evita să deveniți victima unui atac țintit din partea unui actor cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:
- Oferiți echipei SOC acces la cele mai recente informații despre amenințări (Threat Intelligence – TI). Kaspersky Threat Intelligence Portal este un punct unic de acces la datele și informațiile despre atacuri cibernetice colectate de Kaspersky de-a lungul a peste 20 de ani.
- Îmbunătățiți competențele echipei de securitate cibernetică pentru a face față celor mai noi amenințări țintite, prin cursurile online dezvoltate de experții GReAT.
- Pentru detecția, investigarea și remedierea rapidă a incidentelor la nivel endpoint, implementați soluții EDR, precum Kaspersky Endpoint Detection and Response.
- Pe lângă protecția esențială la nivel endpoint, adoptați o soluție de securitate de nivel enterprise care detectează amenințările avansate la nivel de rețea încă din fazele incipiente, cum este Kaspersky Anti Targeted Attack Platform.
- Deoarece multe atacuri țintite încep cu phishing sau alte tehnici de inginerie socială, introduceți programe de instruire privind conștientizarea securității și dezvoltați abilități practice în echipă – de exemplu, prin intermediul Kaspersky Automated Security Awareness Platform.
.
