یک گروه تهدید پیشرفته مرتبط با چین به نام Weaver Ant بیش از چهار سال را در شبکه یک ارائهدهنده خدمات مخابراتی گذراند و ترافیک و زیرساختها را با کمک روترهای Zyxel CPE مخفی کرد.
محققانی که در حال بررسی این نفوذ بودند، انواع مختلفی از دربپشتی China Chopper و یک وبشل سفارشی مستند نشده به نام “INMemory” پیدا کردند که پیلودها را در حافظه میزبان اجرا میکرد. به گفته محققان شرکت خدمات و فناوری سایبری Sygnia، عامل تهدید ارائهدهنده بزرگ مخابراتی آسیایی را هدف قرار داد و ثابت کرد که در برابر تلاشهای متعدد انهدام مقاوم است. نفوذ Weaver Ant از یک شبکه operational relay box (ORB) که عمدتاً از روترهای Zyxel CPE ساخته شده بود برای ترافیک پراکسی و پنهانسازی زیرساخت استفاده کرد. عامل تهدید با استفاده از یک نوع رمزگذاری شده با AES از وبشل China Chopper، که امکان کنترل از راه دور سرورها را در حالی که محدودیتهای فایروال را دور میزد، جای پایی در شبکه ایجاد کرد. سپس Weaver Ant یک وبشل پیشرفتهتر و سفارشی به نام INMemory را معرفی کرد که از یک DLL (eval.dll) برای “اجرای بلافاصله کد” مخفیانه استفاده میکند.
https://www.bleepingcomputer.com/news/security/chinese-weaver-ant-hackers-spied-on-telco-network-for-4-years/
