APT41، گروه تهدید چینی (تحت عناوین Axiom، Blackfly، Brass Typhoon(Bariumسابق)، Bronze Atlas، Earth Baku، HOODOO، RedGolf، Red Kelpie، TA415، Wicked Panda و Winntiنیز شناخته میشود) از بدافزار TOUGHPROGRESS استفاده کرد که برای برقراری ارتباط C2، سرویس Google Calendar را به کار میگیرد و فعالیتهای مخرب را پشت سرویس ابری معتبر پنهان کرد.
این فعالیت مخرب که در اواخر اکتبر 2024 شناسایی شد، شامل میزبانی بدافزار بر روی وبسایت دولتی نفوذ شده و هدفگیری چندین نهاد دولتی دیگر بود. سوءاستفاده از سرویسهای ابری برای C2 تکنیکی است که بسیاری از عاملان تهدید برای ادغام با فعالیتهای مشروع از آن استفاده میکنند. براساس یافتههای گوگل، حمله از طریق ارسال ایمیلهای فیشینگ نیزهای به اهداف آغاز میشود که به یک آرشیو ZIP میزبانی شده در وبسایت دولتی که قبلاً هک شده، لینک میدهد. این آرشیو شامل فایل LNK ویندوز است که وانمود میکند یک سند PDF است، پیلود اصلی که به عنوان فایل تصویری JPG ظاهر شده است، و فایل DLL که برای رمزگشایی و اجرای پیلود استفاده میشود، که آن هم به عنوان فایل تصویری استتار شده است.
بنابر گزارش گوگل: “فایلهای “6.jpg” و “7.jpg” تصاویر جعلی هستند. فایل اول در واقع یک پیلود رمزگذاری شده است و توسط فایل دوم رمزگشایی میشود، که فایل DLL است و هنگام کلیک هدف روی LNK اجرا میشود.” این DLL ‘PlusDrop’ است، مؤلفهای که مرحله بعدی، ‘PlusInject’ را کاملاً در حافظه رمزگشایی و اجرا میکند. در مرحله بعد، PlusInject فرآیند ‘svhost.exe’ را در فرآیند قانونی ویندوز اجرا میکند و مرحله نهایی ‘ToughProgress’ را تزریق میکند. گروه APT41، یکی از فعالترین گروههای تهدید وابسته به دولت چین است که سابقه هدفگیری سازمانها و دولتها در حوزههای لجستیک و کشتیرانی، رسانه و سرگرمی، فناوری و خودروسازی را دارد.
https://www.bleepingcomputer.com/news/security/apt41-malware-abuses-google-calendar-for-stealthy-c2-communication
https://thehackernews.com/2025/05/chinese-apt41-exploits-google-calendar.html
