קבוצת ההאקרים הסינית DEV-0147 הפועלת ככל הנראה בחסות המדינה, זוהתה מכוונת מתקפות סייבר כלפי ישויות דיפלומטיות בדרום אמריקה באמצעות ShadowPad Trojan (RAT), הידוע גם בשם PoisonPlug. חברת מיקרוסופט שיתפה בתחילת השבוע את הממצאים בטוויטר וטענה כי מתקפת סייבר זו מייצגת הרחבה בולטת של פעולות סינון הנתונים של הקבוצה אשר כוונו בעבר לסוכנויות ממשלתיות ולצוותי חשיבה באסיה ובאירופה.
מנקודת מבט טכנית טוענת מיקרוסופט שהיא צפה בקבוצת DEV-0147 פורסת את הטרויאני המשויך לקבוצות האקרים אחרות בסין, כדי להשיג דריסת רגל במערכות מחשוב וב- QuasarLoader כאמצעי להטענת חבילות אינטרנט, כדי להוריד ולהפעיל נוזקות נוספות: "מתקפות הסייבר של DEV-0147 בדרום אמריקה כללו פעילות של שימוש לרעה בתשתית זהות מקומית לצורך איתור ותנועה לרוחב וכן, שימוש ב- Cobalt Strike לשליטה ובקרה וחילוץ נתונים". "Microsoft 365 Defender זיהתה את מתקפות DEV-0147 באמצעות Microsoft Defender for Identity ו- Defender for Endpoint. מומלץ מאוד לארגונים לאכוף אימות רב-גורמי – MFA". נכתב בטוויטר.
DEV-0147 אינה קבוצת ההאקרים היחידה בסין העושה שימוש ב- ShadowPad בתקופה האחרונה. דוח של חברת האנטי וירוס קספרסקי שפורסם בחודש יוני 2022 מציין כי קבוצות האקרים סיניות משמשות בנוזקה זו כדי למקד מתקפות סייבר בשרתי Microsoft Exchange במדינות שונות באסיה.
לפי חוקרי אבטחת סייבר בחברת Secureworks, התפתחה ShadowPad מהנוזקה PlugX והיא בשימוש לעתים קרובות על ידי קבוצות יריבות סיניות הקשורות למשרד לביטחון המדינה (MSS) ולצבא השחרור העממי (PLA). הנוזקה פותחה ככל הנראה על ידי גורמי איומים המזוהים עם BRONZE ATLAS ולאחר מכן שותפה עם קבוצות איומים של MSS ו- PLA בסביבות 2019.
