محققان ESET تحلیلی از Spellbinder، ابزار حرکت جانبی برای انجام حملات adversary-in-the-middle (AitM) ارائه دادند که توسط عامل تهدید همسو با چین موسوم به TheWizards علیه سازمانهای دولتی، نظامی و امنیتی در خاورمیانه و آسیا استفاده میشود.
Spellbinder حملات AitM را از طریق جعل IPv6 stateless address autoconfiguration (SLAAC)، قادر میسازد تا با حرکت جانبی در شبکه آسیبپذیر، پکتها را رهگیری کنند و ترافیک نرمافزارهای قانونی چینی را تغییر مسیر دهند تا بهروزرسانیهای مخرب را از سروری که توسط نفوذگران کنترل میشود، دانلود کنند. بدین ترتیب نفوذگران میتوانند به شنود ترافیک شبکه، سرقت حسابهای کاربری و کسب دسترسی مداوم به شبکه اقدام کنند. همچنین یک دانلودر مخرب کشف شده که توسط مکانیسمهای بهروزرسانی نرمافزار قانونی چینی، به دنبال استقرار دربپشتی ماژولار WizardNet بر روی دستگاههای قربانیان مستقر شده است. Spellbinder، ابزاری که نفوذگران برای انجام حملات محلی AitM و هدایت ترافیک به سرور تحت کنترل مهاجم جهت ارائه دربپشتی WizardNet مخصوص این گروه استفاده میکنند.
https://www.welivesecurity.com/en/eset-research/thewizards-apt-group-slaac-spoofing-adversary-in-the-middle-attacks/
https://www.bleepingcomputer.com/news/security/hackers-abuse-ipv6-networking-feature-to-hijack-software-updates/
https://thehackernews.com/2025/04/chinese-hackers-abuse-ipv6-slaac-for.html
