کمیته رکن چهارم – یک گروه تهدید وابسته به چین با نام LongNosedGoblin از قابلیت Group Policy در ویندوز برای توزیع بدافزارهای جاسوسی در شبکههای دولتی جنوب شرق آسیا و ژاپن استفاده کرده است. این حملات که نخستینبار در فوریه ۲۰۲۴ شناسایی شدند، با هدف جاسوسی سایبری انجام شدهاند.
به گزارش کمیته رکن چهارم، شرکت امنیت سایبری ESET اعلام کرد که این گروه از سال ۲۰۲۳ فعال است و با بهرهگیری از ابزارهایی مانند NosyDoor، NosyHistorian، NosyStealer و NosyLogger، اطلاعات حساس کاربران را از طریق سرویسهای ابری مانند OneDrive و Google Drive به سرورهای فرماندهی خود منتقل میکند. در برخی نمونهها نیز از Yandex Disk استفاده شده است.
بررسیها نشان میدهد که بدافزارها به صورت هدفمند و در سیستمهایی خاص فعال میشوند. گروه مهاجم از روشهایی مانند AppDomainManager و مکانیزمهای محدودکننده اجرای هدفمند برای پنهانسازی استفاده کرده است. همچنین، ابزارهایی مانند پروکسی معکوس SOCKS5، ضبط صدا و تصویر و لودر Cobalt Strike نیز در این حملات به کار گرفته شدهاند.
برخی نشانهها از ارتباط فنی محدود با گروههای ToddyCat و Erudite Mogwai خبر میدهند، اما شواهدی دال بر همکاری مستقیم وجود ندارد. نمونهای از بدافزار NosyDoor نیز در یک کشور اروپایی شناسایی شده است که نشاندهنده گسترش تهدید و احتمال استفاده اشتراکی از این بدافزار در بین گروههای وابسته به چین است.
