Cycldek

Haittaohjelmaanalyytikot havaitsivat Cycldekin APT:n (Advanced Persistent Threat) ensimmäisen kerran vuonna 2018. Cycldek-ryhmän kampanjoita tutkittuaan kuitenkin kävi selväksi, että APT on todennäköisesti ollut aktiivinen vuodesta 2014 lähtien. Suurin osa Cycldekin kampanjoista ryhmä toteutetaan Kaakkois-Aasiassa. Hakkerointiryhmä pyrkii etsimään korkean profiilin poliitikkoja ja tärkeitä hallintoelimiä. Cycldekin hakkerointiryhmällä on käytössään laaja valikoima hakkerointityökaluja. Tämä APT käyttää sekä hakkerointityökaluja että laillisia ohjelmistoja kampanjoissaan. Jälkimmäistä tekniikkaa kutsutaan maan ulkopuolella asumisen työkaluiksi. Cycldek-ryhmä paljasti yhdessä viimeisimmistä operaatioistaan erittäin vaikuttavan haittaohjelman nimeltä USBCulprit . Tämä huippuluokan hakkerointityökalu on suunniteltu tunkeutumaan ilmarakoisiin järjestelmiin ja varastamaan turvaluokiteltuja tietoja ja asiakirjoja.

Kyberturvallisuustutkijat uskovat, että Cycldekin hakkerointiryhmä on peräisin Kiinasta. Suurin osa Cycldek APT:n kohteista sijaitsee Kaakkois-Aasiassa – Vietnamissa, Laosissa ja Thaimaassa. Kuitenkin toisinaan Cycldek-ryhmä kohdistuu myös muiden Kaakkois-Aasian maiden valtion instituutioihin ja viranomaisiin.

Cycldek APT:n tunnetuimpia hakkerointityökaluja on NewCore RAT (Remote Access Trojan). Cycldekin hakkerointiryhmä on käyttänyt NewCore RAT:ia kahden muun uhan luomiseen. Yksi NewCore RAT:iin perustuvista hakkerointityökaluista on nimetty BlueCore RAT: iksi. Toinen NewCore RAT -pohjainen haittaohjelma oli nimeltään RedCore RAT .

Kuten mainitsimme, Cycldek APT ei luota vain räätälöityihin haittaohjelmiin, vaan myös julkisesti saatavilla oleviin hakkerointityökaluihin. Jotkut Cycldekin hakkerointiryhmän käyttämistä julkisesti saatavilla olevista uhista ovat:

• JsonCookies – Tämä työkalu kerää evästeitä Chromium-pohjaisista verkkoselaimista SQLite-tietokantojen kautta.
• HDoor – Takaoven troijalainen, joka on ollut olemassa jo jonkin aikaa ja jota kiinalaiset hakkerointiryhmät käyttävät usein.
• ChromePass – Tietovarasto, joka kerää kirjautumistiedot Chromium-pohjaisista verkkoselaimista.

Cycldekin hakkerointiryhmä on ilmeisesti erittäin kokenut kyberrikollisuuden alalla. Jotta haittaohjelmaanalyytikot ja tietoturvatyökalut eivät havaitse niitä, Cycldek APT päivittää hakkerointityökalunsa säännöllisesti.