Pojavila se sofisticirana kampanja kibernetičkih napada usmjerena na južnokorejske web servere, pri čemu akteri prijetnji koriste MeshAgent i SuperShell malver za kompromitovanje i Windows i Linux infrastrukture. Ovaj višestruki platformski napad ukazuje na eskalaciju složenosti napada, jer protivnici koriste ranjivosti u uploadovanju datoteka kako bi uspostavili trajna uporišta u raznovrsnim serverskim okruženjima. Kampanja predstavlja značajan napredak u taktici iskorištavanja web servera, gdje napadači inicijalno dobijaju pristup putem ranjivih mehanizama za upload datoteka prije nego što rasporede arsenal alata za izviđanje i perzistenciju. Dokazi ukazuju da akteri prijetnji nastavljaju s operacijama na Windows IIS serverima i Linux sistemima, što sugerira dobro opskrbljene operacije s mogućnostima unakrsnih platformi koje obuhvataju arhitekture više operativnih sistema. Istraga je otkrila prisustvo malvera zasnovanog na ELF-u uz tradicionalne Windows izvršne datoteke na zlonamjernim distribucijskim tačkama, potvrđujući namjeru napadača da kompromituju heterogene serverske sredine. Otkriveno skladište malvera sadrži WogRAT, backdoor koji dijeli infrastrukturu s prethodnim napadačkim kampanjama, što ukazuje na operativni kontinuitet iste grupe prijetnji kroz više vektora napada. ASEC analitičari identifikovali su brojne web shellove raspoređene na kompromitovanim sistemima, uključujući popularne varijante kao što su Chopper, Godzilla i ReGe-ORG. Istraživači su primijetili da ovi alati, u kombinaciji sa kineskim alatima za izviđanje kao što su Fscan i Ladon, snažno ukazuju na kineski govoreće aktere prijetnji koji orkestriraju kampanju kroz koordinisano upravljanje infrastrukturom.
Metodologija napada prati sistematičan pristup počevši od raspoređivanja web shellova putem ranjivosti u uploadovanju datoteka u konfiguracijama web servera. Nakon uspostavljanja, napadači izvršavaju sveobuhvatne komande za izviđanje kako bi mapirali ciljno okruženje i identifikovali potencijalne mogućnosti za lateralno kretanje, koristeći komande poput `ipconfig`, `whoami /all`, `systeminfo`, `netstat -ano` i `fscan.exe -hf i.txt -nocolor -silent -o rr8.txt`. Nakon početnog izviđanja, akteri prijetnji raspoređuju SuperShell, alat za obrnuti shell napisan u Go jeziku koji podržava platforme Windows, Linux i Android. Ova mogućnost unakrsnih platformi omogućava jedinstveno upravljanje i kontrolu nad različitim komponentama infrastrukture uz održavanje operativne fleksibilnosti. Malver uspostavlja perzistenciju putem MeshAgent-a, koji pruža sveobuhvatne funkcije daljinskog upravljanja, uključujući prijenos datoteka, izvršavanje komandi i pristup udaljenoj radnoj površini putem web interfejsa. Eskalacija privilegija se odvija izvršavanjem PowerLadon-a, specifično iskorištavajući tehniku SweetPotato za manipulaciju tokenima, putem komande `powershell -exec bypass Import-Module .\Ladon.ps1;Ladon SweetPotato whoami`. Napadači potom vrše lateralno kretanje koristeći ukradene akreditive i WMIExec, ciljajući dodatne sisteme uključujući MS-SQL servere unutar kompromitovanog mrežnog perimetra. Ovaj metodičan pristup pokazuje napredne karakteristike perzistentne prijetnje, pri čemu konačni cilj ostaje neutvrđen, ali potencijalno uključuje eksfiltraciju osjetljivih podataka ili raspoređivanje ransomware-a preko organizacione infrastrukture.
