ទ្វារក្រោយ SloppyMIO

ភ្នាក់ងារគំរាមកំហែងនិយាយភាសាហ្វាស៊ីម្នាក់ ដែលត្រូវបានវាយតម្លៃថាមានទំនាក់ទំនងជាមួយផលប្រយោជន៍រដ្ឋអ៊ីរ៉ង់ ត្រូវបានសង្ស័យថាបានរៀបចំយុទ្ធនាការចារកម្មតាមអ៊ីនធឺណិតថ្មីមួយ ដែលកំណត់គោលដៅលើអង្គការមិនមែនរដ្ឋាភិបាល និងបុគ្គលដែលពាក់ព័ន្ធនឹងការកត់ត្រាការរំលោភសិទ្ធិមនុស្សថ្មីៗនេះ។ អ្នកស្រាវជ្រាវសន្តិសុខបានកំណត់អត្តសញ្ញាណសកម្មភាពនេះនៅក្នុងខែមករា ឆ្នាំ២០២៦ ហើយបានកំណត់វាដោយឈ្មោះកូដថា RedKitten។

បរិបទនយោបាយ និងយុទ្ធសាស្ត្រកំណត់គោលដៅ

យុទ្ធនាការនេះត្រួតស៊ីគ្នាយ៉ាងជិតស្និទ្ធជាមួយនឹងភាពចលាចលរីករាលដាលនៅក្នុងប្រទេសអ៊ីរ៉ង់ ដែលបានចាប់ផ្តើមនៅចុងឆ្នាំ ២០២៥ ដែលបណ្តាលមកពីអតិផរណាយ៉ាងខ្លាំង ការកើនឡើងនៃតម្លៃម្ហូបអាហារ និងការធ្លាក់ចុះតម្លៃរូបិយប័ណ្ណយ៉ាងខ្លាំង។ ការបង្ក្រាបរបស់រដ្ឋាភិបាលជាបន្តបន្ទាប់ត្រូវបានគេរាយការណ៍ថាបានបណ្តាលឱ្យមានអ្នកស្លាប់ និងរបួសយ៉ាងច្រើន និងការរំខានដល់អ៊ីនធឺណិតរយៈពេលយូរ។ ប្រតិបត្តិការនេះហាក់ដូចជាត្រូវបានរចនាឡើងដើម្បីកេងប្រវ័ញ្ចបរិយាកាសនេះដោយវាយប្រហារមនុស្សដែលកំពុងស្វែងរកព័ត៌មានអំពីក្រុមបាតុករដែលបាត់ខ្លួន ឬស្លាប់ ដោយទាញយកផលប្រយោជន៍ពីភាពតានតឹងផ្លូវចិត្តដើម្បីបង្កឱ្យមានភាពបន្ទាន់ និងកាត់បន្ថយការសង្ស័យ។

វ៉ិចទ័រឆ្លងដំបូង និងការអភិវឌ្ឍដែលជំរុញដោយ LLM

ខ្សែសង្វាក់នៃការឈ្លានពានចាប់ផ្តើមដោយបណ្ណសារ 7-Zip ដែលមានឈ្មោះឯកសារភាសា Farsi។ នៅខាងក្នុងគឺជាសៀវភៅបញ្ជី Microsoft Excel ដែលមានម៉ាក្រូព្យាបាទ។ ឯកសារ XLSM ទាំងនេះអះអាងថារាយបញ្ជីអ្នកតវ៉ាដែលត្រូវបានសម្លាប់នៅទីក្រុងតេអេរ៉ង់រវាងថ្ងៃទី 22 ខែធ្នូ ឆ្នាំ 2025 និងថ្ងៃទី 20 ខែមករា ឆ្នាំ 2026។ ទោះជាយ៉ាងណាក៏ដោយ ភាពមិនស៊ីសង្វាក់គ្នាដូចជាអាយុ និងថ្ងៃខែឆ្នាំកំណើតមិនត្រូវគ្នាបង្ហាញថាទិន្នន័យត្រូវបានប្រឌិត។ នៅពេលដែលម៉ាក្រូត្រូវបានបើក ដំណក់ទឹកដែលមានមូលដ្ឋានលើ VBA ដាក់ពង្រាយការផ្សាំ C# ដែលមានឈ្មោះថា 'AppVStreamingUX_Multi_User.dll' ដោយប្រើការចាក់ AppDomainManager។

ការវិភាគកូដបង្ហាញថា គំរូភាសាធំៗទំនងជាត្រូវបានប្រើប្រាស់ក្នុងការអភិវឌ្ឍន៍ ដោយផ្អែកលើរចនាសម្ព័ន្ធម៉ាក្រូ អនុសញ្ញាដាក់ឈ្មោះ និងមតិយោបល់ដែលបានបង្កប់ដែលស្រដៀងនឹងការជំរុញដោយស្វ័យប្រវត្តិ ឬការណែនាំ។

ស្ថាបត្យកម្ម និងសមត្ថភាព Backdoor របស់ SloppyMIO

ច្រកខាងក្រោយដែលត្រូវបានបង្កប់ ដែលត្រូវបានតាមដានថាជា SloppyMIO ពឹងផ្អែកយ៉ាងខ្លាំងទៅលើវេទិកា cloud និង collaboration ស្របច្បាប់។ GitHub ត្រូវបានប្រើជា dead drop resolver ដើម្បីទទួលបាន URL Google Drive ដែលបង្ហោះរូបភាពដែលលាក់ទិន្នន័យការកំណត់រចនាសម្ព័ន្ធតាមរយៈ steganography។ ការកំណត់ដែលបានស្រង់ចេញរួមមានព័ត៌មានសម្ងាត់ bot Telegram ឧបករណ៍កំណត់អត្តសញ្ញាណការជជែក និងតំណភ្ជាប់ទៅកាន់ payloads បន្ថែម។

SloppyMIO គាំទ្រម៉ូឌុលមុខងារច្រើនដែលអាចឱ្យមានការប្រតិបត្តិពាក្យបញ្ជា ការប្រមូល និងការច្រោះឯកសារ ការដាក់ពង្រាយបន្ទុកទិន្នន័យ ការបន្តតាមរយៈភារកិច្ចដែលបានកំណត់ពេល និងការប្រតិបត្តិដំណើរការ។ មេរោគអាចទាញយក រក្សាទុកក្នុងឃ្លាំងសម្ងាត់ និងដំណើរការម៉ូឌុលទាំងនេះតាមតម្រូវការ ដែលផ្តល់ឱ្យប្រតិបត្តិករនូវការគ្រប់គ្រងយ៉ាងទូលំទូលាយលើប្រព័ន្ធដែលរងការសម្របសម្រួល។

ម៉ូឌុលមុខងារដែលគាំទ្ររួមមាន៖

• ការប្រតិបត្តិពាក្យបញ្ជាតាមរយៈអ្នកបកប្រែពាក្យបញ្ជា Windows
• ការប្រមូលឯកសារ និងការច្រោះចេញដោយផ្អែកលើ ZIP មានទំហំទៅតាមដែនកំណត់ Telegram API
• ការសរសេរឯកសារទៅកាន់ថតទិន្នន័យកម្មវិធីក្នុងស្រុកដោយប្រើ payloads ដែលបានអ៊ិនកូដរូបភាព

• ការបង្កើតភារកិច្ចដែលបានកំណត់ពេលសម្រាប់ការប្រតិបត្តិដដែលៗ

• ការចាប់ផ្តើមដំណើរការតាមអំពើចិត្ត

• បញ្ជា និង គ្រប់គ្រងតាមរយៈ Telegram

ក្រៅពីការចែកចាយបន្ទុកម៉ូឌុល SloppyMIO រក្សាការទំនាក់ទំនងជាបន្តបន្ទាប់ជាមួយប្រតិបត្តិកររបស់ខ្លួនដោយប្រើប្រាស់ Telegram Bot API។ ឧបករណ៍បញ្ជូនសញ្ញាដែលបង្កប់នេះបង្ហាញស្ថានភាពប្រព័ន្ធ ការស្ទង់មតិសម្រាប់ការណែនាំ និងបញ្ជូនទិន្នន័យដែលប្រមូលបានតាមរយៈការជជែកតាម Telegram ខណៈពេលដែលក៏គាំទ្រដល់ការបំពេញភារកិច្ចដោយផ្ទាល់ពីចំណុចបញ្ចប់ពាក្យបញ្ជា និងការគ្រប់គ្រងដាច់ដោយឡែកផងដែរ។

ពាក្យបញ្ជាប្រតិបត្តិករដែលសង្កេតឃើញរួមមាន៖

• ការប្រមូល និងការលួចយកឯកសារដែលបង្កឡើងដោយកម្មវិធី
• ការប្រតិបត្តិពាក្យបញ្ជាសែលតាមអំពើចិត្ត
• ការបើកដំណើរការកម្មវិធី ឬដំណើរការជាក់លាក់

ការសន្មត់ និងការប្រៀបធៀបប្រវត្តិសាស្ត្រ

ការសន្មត់ទៅលើតួអង្គដែលមានសម្ព័ន្ធភាពជាមួយអ៊ីរ៉ង់គឺផ្អែកលើសូចនាករច្រើន៖ វត្ថុបុរាណភាសាហ្វាស៊ី ប្រធានបទទាក់ទាញដែលជាប់ទាក់ទងនឹងភាពចលាចលក្នុងស្រុក និងការត្រួតស៊ីគ្នាខាងយុទ្ធសាស្ត្រជាមួយយុទ្ធនាការមុនៗ។ ជាពិសេស ភាពស្រដៀងគ្នាមានជាមួយប្រតិបត្តិការដែលសន្មតថាជារបស់ Tortoiseshell ដែលពីមុនបានរំលោភបំពានឯកសារ Excel ដែលមានគំនិតអាក្រក់ និងការចាក់ AppDomainManager ក៏ដូចជាយុទ្ធនាការឆ្នាំ 2022 ដែលភ្ជាប់ទៅនឹងក្រុមរង Nemesis Kitten ដែលបានប្រើ GitHub ដើម្បីចែកចាយទ្វារក្រោយ Drokbk។ ការប្រើប្រាស់ឧបករណ៍ជំនួយដោយ AI កាន់តែច្រើនឡើងធ្វើឱ្យស្មុគស្មាញដល់ភាពខុសគ្នារបស់តួអង្គ និងទំនុកចិត្តលើការសន្មត។

ប្រតិបត្តិការបន្លំតាមប្រព័ន្ធអេឡិចត្រូនិកស្របគ្នា និងផលប៉ះពាល់កាន់តែទូលំទូលាយ

ដោយឡែកពីគ្នា អ្នកស៊ើបអង្កេតបានបង្ហាញយុទ្ធនាការបន្លំ (phishing) ដែលបានបញ្ជូនតាមរយៈ WhatsApp ដែលប្រើប្រាស់ចំណុចប្រទាក់ WhatsApp Web ក្លែងក្លាយដែលបង្ហោះនៅលើដែន DuckDNS។ ទំព័រនេះស្ទង់មតិជាបន្តបន្ទាប់នូវចំណុចបញ្ចប់ដែលគ្រប់គ្រងដោយអ្នកវាយប្រហារ ដើម្បីបង្ហាញលេខកូដ QR ផ្ទាល់ដែលភ្ជាប់ទៅនឹងវគ្គ WhatsApp Web របស់សត្រូវផ្ទាល់។ ជនរងគ្រោះដែលស្កេនលេខកូដដោយមិនដឹងខ្លួនផ្ទៀងផ្ទាត់អ្នកវាយប្រហារ ដោយផ្តល់សិទ្ធិចូលប្រើគណនីពេញលេញ។ ហេដ្ឋារចនាសម្ព័ន្ធបន្លំក៏ស្វែងរកការអនុញ្ញាតកម្មវិធីរុករកសម្រាប់កាមេរ៉ា មីក្រូហ្វូន និងការចូលប្រើទីតាំងភូមិសាស្ត្រ ដែលអាចឱ្យមានការឃ្លាំមើលតាមពេលវេលាជាក់ស្តែង។

ការរកឃើញបន្ថែមបង្ហាញពីសកម្មភាពពាក់ព័ន្ធដែលមានគោលបំណងប្រមូលព័ត៌មានសម្ងាត់ Gmail រួមទាំងពាក្យសម្ងាត់ និងលេខកូដផ្ទៀងផ្ទាត់ពីរកត្តា តាមរយៈទំព័រចូលក្លែងក្លាយ។ បុគ្គលប្រហែល ៥០ នាក់បានរងផលប៉ះពាល់ ដែលរួមមានសមាជិកនៃសហគមន៍ឃឺដ អ្នកសិក្សា បុគ្គលិករដ្ឋាភិបាល ថ្នាក់ដឹកនាំអាជីវកម្ម និងឥស្សរជនល្បីៗផ្សេងទៀត។ ប្រតិបត្តិករនៅពីក្រោយកិច្ចខិតខំប្រឹងប្រែងបន្លំទាំងនេះ និងការលើកទឹកចិត្តពិតប្រាកដរបស់ពួកគេនៅតែមិនទាន់ត្រូវបានបញ្ជាក់នៅឡើយ។

ប្រតិបត្តិការពាណិជ្ជកម្ម និងផលប៉ះពាល់ការពារ

ការប្រើប្រាស់យ៉ាងទូលំទូលាយនៃវេទិកាទំនិញដូចជា GitHub, Google Drive និង Telegram រារាំងការតាមដានផ្អែកលើហេដ្ឋារចនាសម្ព័ន្ធបែបប្រពៃណី ខណៈពេលដែលក្នុងពេលដំណាលគ្នាណែនាំទិន្នន័យមេតាដែលអាចកេងប្រវ័ញ្ចបាន និងហានិភ័យសុវត្ថិភាពប្រតិបត្តិការសម្រាប់អ្នកវាយប្រហារ។ រួមផ្សំជាមួយនឹងការទទួលយក AI កាន់តែច្រើនឡើងដោយអ្នកគំរាមកំហែង យុទ្ធនាការដូចជា RedKitten គូសបញ្ជាក់ពីតម្រូវការសម្រាប់អ្នកការពារក្នុងការផ្តោតលើការវិភាគអាកប្បកិរិយា ការផ្ទៀងផ្ទាត់ខ្លឹមសារ និងការយល់ដឹងរបស់អ្នកប្រើប្រាស់ជាជាងពឹងផ្អែកតែលើសូចនាករហេដ្ឋារចនាសម្ព័ន្ធ។