Cyberthreat.id – Peneliti keamanan Unit 42 dari Palo Alto Networks mengungkapkan bahwa grup peretasan yang disponsori oleh China, Vixen Panda telah dikaitkan dengan serangkaian serangan baru yang menargetkan pemerintah Iran antara Juli dan Desember 2022.

Disebut “Playful Taurus” oleh Unit 42, Vixen Panda juga dikenal sebagai APT15, BackdoorDiplomacy, KeChang dan NICKEL. Pelaku ancaman telah aktif setidaknya sejak tahun 2010, seringkali menargetkan entitas pemerintah dan diplomatik di Amerika Utara dan Selatan, Afrika, dan Timur Tengah.

“Pada Juni 2021, ESET melaporkan bahwa grup ini telah memutakhirkan tool kit mereka untuk menyertakan backdoor baru yang disebut Turian untuk menargetkan sejumlah entitas di Iran,” kata Unit 42., sesuai yang dikutip dari Info Security Magazine.

Peneliti mengatakan, backdoor yang digunakan oleh Unit 42 masih dalam pengembangan aktif, dan peneliti menilai bahwa ini digunakan secara eksklusif oleh para aktor Playful Taurus. Mengikuti evolusi kemampuan ini, peneliti baru-baru ini mengidentifikasi varian baru dari pintu belakang ini serta infrastruktur perintah dan kontrol baru.

Kedua varian, yang menampilkan kebingungan tambahan dan protokol jaringan yang dimodifikasi, dikerahkan dalam serangan terhadap beberapa jaringan pemerintah Iran. Peneliti mengidentifikasi infrastruktur pemerintah Iran yang membangun koneksi dengan server Playful Taurus command and control (C2).

“Berputar pada salah satu IP pemerintah Iran, kami kemudian mengidentifikasi sertifikat hosting infrastruktur tambahan yang tumpang tindih dengan Playful Taurus kedua server C2,” kata peneliti.

Menurut peneliti, pemutakhiran backdoor Turian dan infrastruktur C2 baru menunjukkan bahwa Vixen Panda terus meraih kesuksesan selama kampanye spionase dunia maya.

Dalam laporan terbaru, perusahaan keamanan itu juga telah membagikan sampel file dan indikator kompromi (IoC) dari kampanye jahat baru bersama dengan berbagai saran perlindungan dan mitigasi. Ini termasuk penggunaan pemfilteran URL tingkat lanjut dan praktik keamanan DNS untuk mengidentifikasi domain yang terkait dengan Playful Taurus sebagai berbahaya.

Laporan dari Unit 42 ini dirilis beberapa hari setelah data baru dari Recorded Future menunjukkan bahwa undang-undang yang membatasi di China dapat mendorong penjahat dunia maya ke arah teknik monetisasi baru.