Uočena je sofisticirana kampanja kibernetičkih napada usmjerena na južnokorejske web servere, gdje akteri prijetnje raspoređuju zlonamjerni softver MeshAgent i SuperShell radi kompromitovanja i Windows i Linux infrastrukture. Ova napredna, višestruka akcija ukazuje na eskalaciju složenosti napada, jer napadači koriste ranjivosti u prijenosu datoteka kako bi uspostavili trajna uporišta u raznolikim serverskim okruženjima. Ova kampanja predstavlja značajan evolucijski korak u taktikama iskorištavanja web servera, gdje napadači prvo stiču pristup putem ranjivih mehanizama za prijenos datoteka, a zatim raspoređuju arsenal alata za izviđanje i održavanje prisutnosti. Postoje dokazi koji ukazuju da akteri prijetnje nastavljaju svoje operacije i na Windows IIS serverima i na Linux sistemima, što ukazuje na dobro financiranu operaciju s mogućnostima djelovanja na više platformi koje obuhvataju različite arhitekture operativnih sistema. Detaljna analiza otkriva prisustvo zlonamjernog softvera zasnovanog na ELF formatu uz tradicionalne Windows izvršne datoteke na lokacijama zlonamjernog širenja, potvrđujući namjeru napadača da kompromituju heterogene serverske okoline. Otkriveno skladište zlonamjernog softvera sadrži WogRAT, backdoor koji dijeli infrastrukturu s prethodnim napadačkim kampanjama, sugerišući operativni kontinuitet iste grupe prijetnji kroz više vektora napada. Analitičari iz ASEC-a su identifikovali više web shell-ova raspoređenih na kompromitovanim sistemima, uključujući popularne varijante kao što su Chopper, Godzilla i ReGe-ORG. Istraživači su primijetili da ovi alati, zajedno s izviđačkim uslužnim programima na kineskom jeziku poput Fscan i Ladon, snažno ukazuju na djelovanje aktera prijetnje koji govore kineski jezik, a koji orkestriraju kampanju kroz koordinirano upravljanje infrastrukturom.
Metodologija napada počinje implementacijom web shell-ova putem ranjivosti u prijenosu datoteka unutar konfiguracija web servera. Nakon uspostavljanja pristupa, napadači provode sveobuhvatne izviđačke komande kako bi mapirali ciljano okruženje i identificirali potencijalne mogućnosti za bočno kretanje. Nakon početnog izviđanja, akteri prijetnje raspoređuju SuperShell, programski jezik Go koji podržava obrnutu vezu i radi na platformama Windows, Linux i Android. Ova mogućnost rada na više platformi omogućava objedinjeno upravljanje i kontrolu nad raznolikim infrastrukturnim komponentama, istovremeno održavajući operativnu fleksibilnost. Zlonamjerni softver uspostavlja trajnu prisutnost putem MeshAgent-a, koji pruža sveobuhvatne funkcije daljinskog upravljanja, uključujući prijenos datoteka, izvršavanje naredbi i pristup daljinskoj radnoj površini putem web sučelja. Povećanje privilegija se postiže izvršavanjem PowerLadon-a, specifično iskorištavajući tehniku SweetPotato za manipulaciju tokenima. Napadači zatim vrše bočno kretanje koristeći ukradene vjerodajnice i WMIExec, ciljajući dodatne sisteme, uključujući MS-SQL servere unutar kompromitovanog mrežnog perimetra. Ovaj metodički pristup demonstrira karakteristike napredne trajne prijetnje, pri čemu krajnji cilj ostaje neutvrđen, ali potencijalno uključuje eksfiltraciju osjetljivih podataka ili implementaciju ransomware-a širom infrastrukture organizacije.