تقوم مجموعة من المتسللين الصينيين يُدعى Aoqin Dragon بحملات تجسس إلكتروني في التخفي منذ ما يقرب من عقد من الزمان.
وفقًا لخبراء أمن الكمبيوتر من SentinelLabs، كانت هذه المجموعة تنفذ مثل هذه الأنشطة منذ عام 2012 على الأقل. ويُزعم أن الحكومات والمنظمات التعليمية وشركات الاتصالات التي يقع مقرها في سنغافورة وهونغ كونغ وفيتنام وكمبوديا مستهدفة. وفي أستراليا.
على مر السنين، تطورت أساليب Aoqin Dragon. من عام 2012 إلى عام 2015، استخدم المتسللون نقاط ضعف في Microsoft Office مثل CVE-2012-0158 و CVE-2010-333 ... الهدف الذي فتح مستندًا تالفًا تم إرساله إليه وجد نفسه مصابًا.
من عام 2015 إلى عام 2018، بدأت المجموعة في المراهنة على تقنية معروفة بنفس القدر: إخفاء البرامج الضارة التنفيذية بأيقونات زائفة لمكافحة الفيروسات لخداع المستخدمين لإطلاقها. بمجرد تنفيذ الملف، يمكن للمتسللين تنشيط برامجهم الضارة في المراوغات والمراوغات على الأجهزة المستهدفة.
ومنذ عام 2018، تحول المتسللون بدلاً من ذلك إلى استخدام ملف اختصار قرص قابل للإزالة يقوم عند النقر عليه بسرقة DLL ويقوم بتثبيت باب خلفي مشفر على الجهاز.
يتم تشغيل نوعين من الأبواب الخلفية بواسطة Aoqin Dragon: Mongall و Heyoka، المعروفان لأكثر من 10 سنوات في الصناعة. لكن المتسللين قاموا بتعديل Heyoka لتخصيصها وجعلها أكثر خطورة.
تشرح SentinelLabs أن المجموعة قد خضعت للرادار بفضل تغييرها في التقنيات المستخدمة وأنها على الأرجح ستستمر في تطوير إجراءاتها مع الكشف عنها الآن. يعتقد محللو الشركة أنه من المحتمل أن يكون Aoqin Dragon مرتبطًا بمجموعة تاريخية أخرى من المتسللين الصينيين، Naikon APT، والتي كانت مستعرة منذ أكثر من عشر سنوات، لا سيما في آسيا.
