O echipă de cercetare din cadrul Kaspersky, Global Research and Analysis Team (GReAT), a descoperit o operațiune complexă de spionaj cibernetic denumită PassiveNeuron, activă din decembrie 2024 până în august 2025.
Campania vizează servere Windows aparținând unor instituții guvernamentale, financiare și industriale din mai multe regiuni ale lumii, inclusiv Asia, Africa și America Latină.
După o pauză de aproximativ șase luni, atacatorii au reluat activitatea, utilizând trei instrumente principale pentru a compromite și menține controlul asupra rețelelor-țintă: două aplicații necunoscute anterior și un framework folosit frecvent în testarea de securitate.
Instrumentele folosite în atacurile PassiveNeuron sunt avansate
Potrivit cercetătorilor Kaspersky, atacatorii folosesc un backdoor modular numit Neursite, un implant bazat pe .NET denumit NeuralExecutor, și platforma Cobalt Strike, deseori exploatată de grupările de criminalitate cibernetică.
Backdoor-ul Neursite permite colectarea de date despre sistem, gestionarea proceselor în execuție și direcționarea traficului prin gazde deja compromise, facilitând mișcarea laterală în interiorul rețelelor.
Unele versiuni ale acestui malware comunică atât cu servere externe de comandă și control (C2), cât și cu sisteme interne infectate, ceea ce complică detectarea atacului.
NeuralExecutor este conceput pentru a descărca și executa sarcini suplimentare, inclusiv fișiere .NET transmise direct de la serverul C2.
În probele analizate, cercetătorii au observat denumiri de funcții conținând caractere chirilice, probabil introduse intenționat pentru a induce în eroare investigațiile și pentru a crea așa-numite „false flags”.
Ce recomandă Kaspersky pentru un mediu mai stabil și mai sigur
Kaspersky consideră, cu un nivel redus de certitudine, că această campanie ar putea fi asociată unui actor cibernetic vorbitor de chineză, pe baza tacticilor și procedurilor identificate.
Activitatea PassiveNeuron fusese observată pentru prima dată la începutul anului 2024, când compania descria deja nivelul ridicat de complexitate al operațiunilor.
Pentru a reduce riscul de compromitere, specialiștii Kaspersky recomandă organizațiilor:
- să ofere echipelor de securitate acces la informații actualizate despre amenințări prin portalul Kaspersky Threat Intelligence;
- să își îmbunătățească pregătirea profesională prin cursurile dezvoltate de experții GReAT;
- să folosească soluții EDR (Endpoint Detection and Response) pentru detecție și remediere rapidă;
- să adopte soluții de securitate la nivel enterprise, precum Kaspersky Anti Targeted Attack Platform, pentru identificarea amenințărilor avansate;
- să desfășoare programe de instruire pentru conștientizarea riscurilor de phishing și inginerie socială, prin platforme precum Kaspersky Automated Security Awareness Platform.