Một tác nhân đe dọa có liên hệ với Trung Quốc đã bị quy trách nhiệm cho một cuộc tấn công kéo dài 5 tháng nhắm vào một nhà cung cấp dịch vụ IT của Nga, đánh dấu sự mở rộng hoạt động của nhóm tin tặc này ra ngoài khu vực Đông Nam Á và Nam Mỹ.
Hoạt động này, diễn ra từ tháng 1 đến tháng 5 năm 2025, đã được Symantec thuộc Broadcom quy cho một tác nhân đe dọa mà họ theo dõi dưới tên Jewelbug, nhóm này được cho là trùng lặp với các nhóm được biết đến như CL-STA-0049 (Palo Alto Networks Unit 42), Earth Alux (Trend Micro), và REF7707 (Elastic Security Labs).
Những phát hiện này cho thấy Nga không phải là vùng cấm đối với các hoạt động gián điệp mạng của Trung Quốc, bất chấp mối quan hệ ngày càng tăng "quân sự, kinh tế và ngoại giao" giữa Moscow và Bắc Kinh trong những năm qua.
"Những kẻ tấn công đã có quyền truy cập vào các kho lưu trữ mã và hệ thống xây dựng phần mềm mà chúng có thể tận dụng để thực hiện các cuộc tấn công chuỗi cung ứng nhắm vào khách hàng của công ty ở Nga," Nhóm Symantec Threat Hunter cho biết trong một báo cáo được chia sẻ với The Hacker News. "Đáng chú ý là, những kẻ tấn công đã trích xuất dữ liệu sang Yandex Cloud."
Earth Alux được đánh giá là đã hoạt động ít nhất từ quý 2 năm 2023, với các cuộc tấn công chủ yếu nhắm vào chính phủ, technology, logistics, manufacturing, telecommunications, IT services, và retail ở các khu vực Asia-Pacific (APAC) và Latin American (LATAM) để phát tán các malware như VARGEIT và COBEACON (aka Cobalt Strike Beacon).
Mặt khác, các cuộc tấn công do CL-STA-0049/REF7707 thực hiện đã được quan sát thấy phát tán một backdoor tiên tiến có tên FINALDRAFT (aka Squidoor) có khả năng lây nhiễm cả hệ thống Windows và Linux. Những phát hiện từ Symantec đánh dấu lần đầu tiên hai nhóm activity clusters này được liên kết với nhau.
Trong cuộc tấn công nhắm vào nhà cung cấp dịch vụ IT của Nga, Jewelbug được cho là đã tận dụng một phiên bản Microsoft Console Debugger ("cdb.exe") đã đổi tên, có thể được sử dụng để chạy shellcode và bypass application allowlisting, cũng như khởi chạy executables, chạy DLL, và terminate security solutions.
Tác nhân đe dọa này cũng được quan sát thấy thực hiện dumping credentials, establishing persistence via scheduled tasks, và cố gắng che giấu dấu vết hoạt động của chúng bằng cách clearing Windows Event Logs.
Việc nhắm mục tiêu vào các nhà cung cấp dịch vụ IT mang tính strategic vì nó mở ra cánh cửa cho các cuộc tấn công supply chain attacks tiềm ẩn, cho phép các threat actors tận dụng sự compromise để breach nhiều downstream customers cùng lúc thông qua các malicious software updates.
Hơn nữa, Jewelbug cũng được liên kết với một vụ intrusion vào một tổ chức chính phủ lớn ở Nam Mỹ vào tháng 7 năm 2025, triển khai một backdoor chưa từng được ghi nhận trước đây được cho là đang trong quá trình development – nhấn mạnh khả năng evolving capabilities của nhóm. Malware này sử dụng Microsoft Graph API và OneDrive cho command-and-control (C2), và có thể collect system information, enumerate files từ các máy mục tiêu, và upload thông tin lên OneDrive.
Việc sử dụng Microsoft Graph API cho phép threat actor hòa lẫn vào normal network traffic và leaves minimal forensic artifacts, làm phức tạp post-incident analysis và prolonging dwell time cho các threat actors.
Các mục tiêu khác bao gồm một IT provider based in South Asia và một công ty Đài Loan vào tháng 10 và tháng 11 năm 2024, với cuộc tấn công vào công ty Đài Loan đã leveraging DLL side-loading techniques để drop malicious payloads, bao gồm ShadowPad, một backdoor exclusively used by Chinese hacking groups.
Chuỗi infection chain cũng được đặc trưng bởi việc deployment của công cụ KillAV để disable security software và một publicly available tool tên EchoDrv, cho phép abuse of the kernel read/write vulnerability trong ECHOAC anti-cheat driver, như một phần của cái mà appears to be a bring your own vulnerable driver (BYOVD) attack.
Cũng được leveraged là LSASS và Mimikatz để dumping credentials, các công cụ có sẵn miễn phí như PrintNotifyPotato, Coerced Potato, và Sweet Potato để discovery và privilege escalation, cùng với một SOCKS tunneling utility có tên EarthWorm đã được sử dụng bởi các Chinese hacking crews như Gelsemium và Lucky Mouse.
"Sở thích của Jewelbug trong việc sử dụng các cloud services và các legitimate tools khác trong operations của chúng cho thấy việc remaining under the radar và establishing a stealthy and persistent presence on victim networks là of utmost importance đối với nhóm này," Symantec nói.
Thông tin này được đưa ra khi National Security Bureau của Đài Loan cảnh báo về sự gia tăng các cyber attacks của Trung Quốc nhắm vào các government departments của mình, và called out "online troll army" của Bắc Kinh vì đã cố gắng disseminate fabricated content across social networks và undermine people's trust in the government và sow distrust in the U.S., Reuters reported.
