Эксперты связывают SparklingGoblin с группировкой Winnti Group.
https://www.securitylab.ru/upload/ib...48658c21a3.jpg
Специалисты в области кибербезопасности антивирусной компании ESET обнаружили модульный бэкдор SideWalk, использующийся APT-группировкой под названием SparklingGoblin. Данный бэкдор имеет много общего с бэкдором CROSSWALK, используемым группой.
SideWalk — модульный бэкдор, который может динамически загружать дополнительные модули, отправленные с C&C сервера, использовать Google Docs для активации следующего этапа атаки (dead drop resolver) и платформу Cloudflare Workers в качестве C&C-сервера. Он также может корректно обрабатывать связь через прокси.
Хакерская группировка в основном нацелена на академический сектор в Восточной и Юго-Восточной Азии, но также проявила усиленный интерес к сфере образования в Канаде, медиакомпаниям в США и по крайней мере к одной неназванной компании по продаже компьютеров в США.
Неизвестно, на какие компании были совершены атаки и когда произошли взломы. Также неизвестно откуда родом группировка, однако ESET отметила, что некоторые из процедур APT были описаны в блоге на китайском языке, предполагая, что она может базироваться в Восточной Азии.
ESET классифицирует эту группу как APT, которая используют «непрерывные, тайные и изощренные хакерские методы для получения доступа к системе и пребывания внутри нее в течение длительного периода времени с потенциально разрушительными последствиями».
По данным ESET, аналогичный набор инструментов, используемый SparklingGoblin, применялся в ходе серии атак на университеты Гонконга участниками группировки Winnti Group.