קבוצת האקרים חדשה המכונה WIP26 על ידי חברת SentinelOne, נצפתה מכוונת מתקפות סייבר לספקי תקשורת במזרח התיכון: "WIP26 מאופיינת בניצול לרעה של תשתית ענן ציבורית – Microsoft 365 Mail, Microsoft Azure, Google Firebase ו- Dropbox למטרות התקנת נוזקות, חילוץ נתונים ופקודה ושליטה C2", כתב חוקר איומי הסייבר הבכיר אלכסנדר מילנקוסקי מ- SentinelLabs, זרוע מחקר האבטחה SentinelOne.
קבוצת ההאקרים נצפתה יוזמת שרשראות הדבקה על ידי מיקוד מדויק בעובדים באמצעות הודעות WhatsApp המכילות קישורי Dropbox לנוזקות. התקנת הנוזקה מובילה לפריסת שתי דלתות אחוריות תוך ניצול כלי הענן הנ"ל: "הפונקציונליות העיקרית של CMD365 ו- CMDEmber היא ביצוע פקודות מערכת שסופקו על ידי תוקף באמצעות מתורגמן הפקודות של Windows", הסביר מילנקוסקי.
באשר לשימוש בתשתית ענן ציבורית למטרות C2, אמר חוקר האבטחה שזוהי טקטיקה לנסות לגרום לתעבורת רשת C2 זדונית להיראות לגיטימית ולהקשות על הזיהוי: "דגימות ה- CMD365 וה- CMDEmber שראינו מתחזות לתוכנת שירות כמו עורך PDF, או דפדפן וכתוכנה המבצעת פעולות עדכון", הסביר מילנקוסקי והוסיף כי ניסיון ההתחזות כולל שימוש בשמות קבצים, סמלי יישומים וחתימות דיגיטליות המצביעות על ספקי תוכנה לגיטימיים.
חוקר הסייבר של SentinelLabs הוסיף כי בהתחשב בערכת הכלים והטקטיקה שלהם, WIP26 מתמקדים בעיקר בפעילויות הקשורות לריגול: "ההתמקדות בספקי תקשורת במזרח התיכון מרמזת שהמניע מאחורי פעילות זו קשור לריגול", נכתב בדוח שפרסמה SentinelLabs אשר גם הדגישה כי ספקי תקשורת הינם יעדים תכופים לפעילות ריגול בשל הנתונים הרגישים שהם מחזיקים. לבסוף, ראיות מצביעות על כך שברגע שהם קבעו דריסת רגל, מכוונים ההאקרים למידע הפרטי של משתמשים בעלי ערך גבוה ברשת המחשוב.
יש לציין כי הדוח של SentinelOne מגיע מספר שבועות לאחר שחוקרים של Trend Micro זיהו מתקפת סייבר אחרת המכוונת לגופים במזרח התיכון.