تم استهداف منظمات أبحاث المواد في آسيا من قبل جهات تهديدات غير معروفة سابقًا باستخدام مجموعة فريدة من الأدوات.
Symantec، وهي وحدة من Broadcom Software، تتعقب الكتلة المسماة Clasiopa. لا يزال أصل وانتماء مجموعة القرصنة غير واضحين حاليًا، ولكن هناك مؤشرات على أن الخصم قد يكون له علاقات مع الهند.
يتضمن ذلك الرجوع إلى SAPTARISHI-ATHARVAN-101 في باب خلفي مخصص واستخدام كلمة المرور iloveindea1998 ^ _ ^ لأرشيف ZIP.
من الجدير بالذكر أن سابتاريشي، والتي تعني سبعة حكماء باللغة السنسكريتية، تشير إلى مجموعة من العرافين الذين يحظون بالتبجيل في الأدب الهندي. كان أثارفان كاهنًا هندوسيًا قديمًا يُعتقد أنه شارك في تأليف إحدى مجموعات الفيدا الأربعة، وهي مجموعة من الكتب الدينية الهندوسية.
وقالت سيمانتيك في تقرير مشترك مع The Hacker News.
الطريقة الدقيقة للوصول الأولي غير واضحة، على الرغم من الاشتباه في أن الهجوم السيبراني استخدم هجومًا عنيفًا على الخوادم التي تواجه الإنترنت.
تتضمن بعض السمات المميزة للتطفل مسح أنظمة المراقبة (Sysmon) وسجلات الأحداث، ونشر العديد من الأبواب الخلفية، مثل Atharvan والإصدارات المعدلة من Lilith RAT مفتوح المصدر، لجمع واستخراج المعلومات الحساسة.
Atharvan قادر أيضًا على الاتصال بخوادم القيادة والتحكم المشفرة (C&C) لاسترداد الملفات وتشغيل الملفات التنفيذية التعسفية على المضيفين المصابين.
قالت الشركة إن عنوان C&C المشفر الذي شوهد في إحدى العينات التي تم تحليلها حتى الآن كان مخصصًا لـ Amazon AWS Korea (سيول)، وهو ليس موقعًا شائعًا للبنية التحتية C&C.
في اليوم السابق، أطلقت شركة الأمن السيبراني مجموعة تهديد أخرى غير موثقة تسمى Hydrochasma، والتي تستهدف شركات الشحن والمختبرات الطبية في آسيا.