Enligt Check Point Research har kampanjen varit aktiv sedan mitten av 2024 och kombinerar serverexploatering, riktade nätfiskeattacker och egen skadlig kod för att etablera långvarig åtkomst.
Ett centralt inslag är bakdörren GearDoor där Google Drive används som kommando- och kontrollkanal. Genom att utnyttja en betrodd molntjänst kan kommunikationen döljas i legitim trafik, uppger Check Point Research.
Forskarna ser kopplingar till kinesisk infrastruktur och bedömer med hög säkerhet att aktören har koppling till Kina samt sannolikt är knuten till APT41-nätverket, enligt samma källa.
– Vi ser en tydlig utveckling där avancerade hotaktörer systematiskt utnyttjar betrodda molntjänster för att dölja sin verksamhet. Genom att operera inom ramen för legitim infrastruktur kan angripare upprätthålla åtkomst under lång tid utan att väcka misstanke, särskilt i miljöer med höga säkerhetskrav, säger Oskar Rödin, säkerhetsexpert på Check Point Software, i ett pressmeddelande på Mynewsdesk.
För offentliga verksamheter och företag innebär detta en förändrad riskbild där angrepp även sker inom befintliga tjänster och arbetsflöden. Check Point framhåller behovet av en sammanhållen säkerhetsstrategi med korrelerad övervakning av nätverk, slutpunkter, e-post och molninfrastruktur, enligt publiceringen. Mer information: Cyberaktör döljer attacker i Google Drive – myndigheter i Europa drabbade | Check Point Software Technologies.
Detta är en AI-genererad artikel.