Experti odhalili taktiky čínské hackerské skupiny s názvem UnsolicitedBooker, která cílila na nejmenovanou mezinárodní organizaci v Saúdské Arábii s dosud nezdokumentovanými zadními vrátky pojmenovanými MarsSnake.
Společnost ESET, která jako první odhalila průniky této hackerské skupiny do zmíněné organizace v březnu 2023 a znovu o rok později, uvedla, že aktivita využívá spear-phishingové e-maily s letenkami jako návnadou k infiltraci vybraných cílů.
„UnsolicitedBooker rozesílá spear-phishingové e-maily, obvykle s letenkou jako zástěrkou, a jeho cíli jsou vládní organizace v Asii, Africe a na Blízkém východě,“ uvedla společnost ve své nejnovější zprávě o aktivitě APT za období od října 2024 do března 2025.
Útoky vedené touto skupinou se vyznačují použitím zadních vrátek jako Chinoxy, DeedRAT, Poison Ivy a BeRAT, které jsou široce využívány čínskými hackerskými skupinami.
UnsolicitedBooker má podle hodnocení překryvy s klastrem sledovaným jako Space Pirates a s neidentifikovaným klastrem hrozeb, který nasadil zadní vrátka s kódovým označením Zardoor proti islámské neziskové organizaci v Saúdské Arábii.
Nejnovější kampaň, kterou slovenská kyberbezpečnostní společnost zaznamenala v lednu 2025, zahrnovala zaslání phishingového e-mailu, který se vydával za Saudia Airlines, téže saúdské organizaci ohledně rezervace letu.
„K e-mailu je přiložen dokument Microsoft Word a zástupný obsah je letenka, která byla upravena, ale vychází z PDF, jež bylo dostupné online na webu Academia, platformě pro sdílení akademického výzkumu, která umožňuje nahrávání PDF souborů,“ uvedl ESET.
Po spuštění Word dokumentu dojde k aktivaci VBA makra, které dekóduje a zapíše do souborového systému spustitelný soubor („smssdrvhost.exe“), jenž následně slouží jako loader pro MarsSnake – zadní vrátka, která navazují komunikaci se vzdáleným serverem („contact.decenttoy[.]top“).
„Opakované pokusy o kompromitaci této organizace v letech 2023, 2024 a 2025 ukazují na silný zájem UnsolicitedBooker o tento konkrétní cíl,“ uvedl ESET.
Zdroj: The Hacker News
