Chinese hackers nemen topdoelen op de korrel, inclusief cybersecurity bedrijven

Volgens het rapport, getiteld "Follow the Smoke | China-nexus Threat Actors Hammer At the Doors of Top Tier Targets", heeft SentinelLABS in oktober 2024 een verkenningsoperatie tegen zijn eigen infrastructuur waargenomen en geblokkeerd. Begin 2025 werd ook een inbraak gedetecteerd bij een organisatie die verantwoordelijk was voor de hardwarelogistiek voor SentinelOne-medewerkers. Grondig onderzoek heeft bevestigd dat de aanvallers in beide gevallen niet succesvol waren en dat de infrastructuur van SentinelOne niet is gecompromitteerd.

De PurpleHaze- en ShadowPad-activiteiten omvatten meerdere, gedeeltelijk gerelateerde inbraken bij verschillende doelwitten. De slachtoffers omvatten onder andere een Zuid-Aziatische overheidsinstantie, een Europese mediaorganisatie en meer dan 70 organisaties in diverse sectoren, waaronder productie, financiën, telecommunicatie en onderzoek.

SentinelLABS schrijft de PurpleHaze- en ShadowPad-activiteitsclusters met grote zekerheid toe aan Chinese dreigingsactoren. Sommige PurpleHaze-inbraken worden losjes geassocieerd met groepen die overeenkomsten vertonen met de vermoedelijke Chinese cyberspionagegroepen die publiekelijk bekend staan als APT15 en UNC5174.

TTP: Tactics, Techniques, and Procedures

Dit onderzoek benadrukt de aanhoudende dreiging die uitgaat van Chinese cyberspionageactoren voor wereldwijde industrieën en organisaties in de publieke sector. Het werpt ook licht op een zelden besproken doelwit: cybersecurityleveranciers. "Door details van de dreigingsactiviteiten waarmee we te maken hebben gehad openbaar te maken, brengen we een aspect van het dreigingslandschap in beeld dat beperkte aandacht heeft gekregen in het openbare discours over cyberdreigingsinformatie: het richten op cybersecurityleveranciers", aldus het rapport.

De onderzoekers van SentinelLABS benadrukken dat cybersecuritybedrijven van grote waarde zijn voor dreigingsactoren vanwege hun beschermende rol, diepgaande zichtbaarheid in klantomgevingen en hun vermogen om vijandelijke operaties te verstoren. De bevindingen in dit rapport onderstrepen de aanhoudende interesse van Chinese actoren in dergelijke organisaties.

Het onderzoek beschrijft verder concrete technische details, waaronder waargenomen TTP's (Tactics, Techniques, and Procedures), malware en infrastructuur, om andere organisaties in gerelateerde sectoren in staat te stellen vergelijkbare activiteiten te onderzoeken en te mitigeren. Het ShadowPad-malware, een modulair backdoor-platform met gesloten broncode, wordt gebruikt door meerdere Chinese dreigingsactoren voor cyberspionage. Eerdere rapporten van Google Threat Intelligence Group en andere cybersecuritybedrijven hebben het gebruik van ShadowPad-varianten, geobfusceerd met technieken zoals ScatterBrain, reeds gedocumenteerd.