خانواده جدیدی از بدافزار مبتنی بر ویندوز موسوم به Airstalk با دو نوع PowerShell و NET. کشف شده که عامل تهدید دولتی CL-STA-1009 این بدافزار را در حمله زنجیره تأمین به کار گرفته است.
همانطور که unit42 اعلام کرد: “CL” در CL-STA-1009، مخفف کلاستر و “STA” به انگیزه تحت حمایت دولت اشاره دارد. Airstalk از API AirWatch برای مدیریت دستگاه تلفن همراه (MDM) سوءاستفاده میکند، که اکنون Workspace ONE Unified Endpoint Management نامیده میشود. این API از API برای ایجاد یک کانال فرماندهی و کنترل (C2) مخفی، عمدتاً از طریق ویژگی AirWatch برای مدیریت ویژگیهای سفارشی دستگاه و آپلود فایلها استفاده میکند.
این بدافزار که در انواع PowerShell و NET. ظاهر میشود، از پروتکل ارتباطی فرمان و کنترل چند رشتهای (C2) استفاده میکند و قادر به گرفتن اسکرینشات و جمعآوری کوکیها، تاریخچه مرورگر، بوکمارکها و اسکرینشاتها از مرورگرهای وب است. اعتقاد بر این است که عاملان تهدید از گواهی سرقت شده برای امضای برخی از تجهیزات استفاده میکنند.
نوع NET. از Airstalk به قابلیتهای بیشتری نسبت به همتای PowerShell خود مجهز است، که نشان میدهد میتواند نسخه پیشرفتهای از بدافزار باشد. نوع PowerShell، از نقطه پایانی “/api/mdm/devices/” برای ارتباطات C2 استفاده میکند. در حالی که نقطه پایانی برای دریافت جزئیات محتوای یک دستگاه خاص طراحی شده است، این بدافزار با استفاده از قابلیت ویژگیهای سفارشی در API از آن به عنوان یک dead drop resolver جهت ذخیره اطلاعات لازم برای تعامل با مهاجم بهره میبرد.
https://unit42.paloaltonetworks.com/new-windows-based-malware-family-airstalk/
https://thehackernews.com/2025/10/nation-state-hackers-deploy-new.html
