گروه تهدید پیشرفته چینی APT31، به حملات سایبری هدفمند علیه بخش فناوری اطلاعات روسیه بین سالهای ۲۰۲۴ تا ۲۰۲۵ نسبت داده شده است، در حالی که برای مدت طولانی ناشناس باقی مانده است.
گروه APT31 که با نامهای Altaire، Bronze Vinewood، Judgement Panda، PerplexedGoblin، RedBravo، Red Keres و Violet Typhoon (Zirconium سابق) نیز شناخته میشود، حداقل از سال ۲۰۱۰ فعال ارزیابی شده است. این گروه سابقه حمله به طیف وسیعی از بخشها از جمله دولتها، امور مالی، هوافضا و دفاع، فناوری پیشرفته، ساخت و ساز و مهندسی، مخابرات، رسانه و بیمه را دارد. بر اساس گزارش فنی محققان Positive Technologies: این گروه جاسوسی سایبری در درجه اول بر جمعآوری اطلاعاتی متمرکز است که میتواند برای پکن و شرکتهای دولتی مزایای سیاسی، اقتصادی و نظامی فراهم کند. حملات علیه روسیه با استفاده از سرویسهای ابری قانونی، عمدتاً سرویسهای رایج در این کشور مانند Yandex Cloud، برای فرماندهی و کنترل (C2) و استخراج دادهها در تلاش جهت ادغام با ترافیک عادی و فرار از شناسای مشخص میشود.
APT31 به منظور تسهیل مراحل چرخه حمله از مجموعه گستردهای از ابزارهای عمومی و سفارشی استفاده کرده است. پایداری با تنظیم وظایف زمانبندیشدهای که برنامههای قانونی مانند Yandex Disk و Google Chrome را تقلید میکنند، حاصل میشود. افزون بر این، گروهبندی دادهها از طریق فضای ذخیرهسازی ابری Yandex استخراج میشود. این ابزارها و تکنیکها به APT31 اجازه داد تا سالها در زیرساخت قربانیان مورد توجه قرار نگیرد. در همان زمان، مهاجمان فایلها را دانلود کرده و اطلاعات محرمانه از جمله رمزهای عبور از صندوقهای پستی و سرویسهای داخلی قربانیان را از دستگاهها جمعآوری کردند. برخی از ابزارها شامل موارد زیر هستند:
- SharpADUserIP
- SharpChrome.exe
- SharpDir
- StickyNotesExtract.exe
- Tailscale VPN
- Microsoft dev tunnels
- ماژول IIS مخرب Owawa
- دربپشتی AufTime، OneDriveDoor، COFFProxy، CloudSorcerer
- VtChatter
- LocalPlugX
- YaLeak
https://thehackernews.com/2025/11/china-linked-apt31-launches-stealthy.html
