מתקפת דיוג אותה מכנים חוקרי אבטחת סייבר בשם SmugX ומיוחסת להאקרים סיניים, פועלת מאז דצמבר 2022 נגד שגרירויות ומשרדי חוץ בבריטניה, צרפת, שוודיה, אוקראינה, צ'כיה, הונגריה וסלובקיה. חוקרים בחברת אבטחת הסייבר צ'ק פוינט ניתחו את המתקפות וצפו בחפיפה לפעילות שיוחסה בעבר לקבוצות פשיעת סייבר כמו Mustang Panda ו- RedDelta.
כשהסתכלו על מסמכי הפיתוי בהודעות הדיוג, הבחינו החוקרים שהם בדרך כלל סביב נושאי מדיניות הפנים והחוץ אירופאיים. בין הדגימות שאספה צ'ק פוינט במהלך חקירתה: מכתב משגרירות סרביה בבודפשט, מסמך המציין את סדרי העדיפויות של הנשיאות השוודית של מועצת האיחוד האירופי, הזמנה לוועידה דיפלומטית שהוציא משרד החוץ של הונגריה, מאמר על שני עורכי דין סיניים לזכויות אדם. הפתיונות שבהם נעשה שימוש במתקפות הדיוג של SmugX מסגירים את פרופיל היעד של פושעי הסייבר ומצביעים על ריגול כמטרת מתקפות הסייבר.
צ'ק פוינט הבחינה כי מתקפות SmugX מסתמכות על שתי שרשראות זיהום, שתיהן משתמשות בטכניקת הברחת HTML כדי להסתיר מטענים זדוניים במחרוזות מקודדות של מסמכי HTML המצורפים להודעת הפיתוי. גרסה אחת של המתקפה כוללת ארכיון ZIP עם קובץ LNK זדוני המריץ את PowerShell בעת ההפעלה, במטרה לחלץ קבצים ולשמור אותם בספרייה הזמנית של Windows. הארכיון שחולץ מכיל שלושה קבצים, אחד מהם הוא קובץ הפעלה לגיטימי (robotaskbaricon.exe או passwordgenerator.exe) מגרסה ישנה יותר של מנהל הסיסמאות של RoboForm שאפשרה טעינת קבצי DLL שאינם קשורים לאפליקציה – טכניקה הנקראת DLL sideloading. שני הקבצים האחרים הם DLL זדוני (Roboform.dll) אשר נטענים על ידי אחד משני קבצי ההפעלה החוקיים, וקובץ data.dat המכיל את ה- PlugX Trojan לגישה מרחוק (RAT – Remote Access Trojans) המופעל באמצעות PowerShell. הגרסה השנייה של שרשרת ההתקפה משתמשת בהברחת HTML כדי להוריד קובץ JavaScript המבצע קובץ MSI לאחר הורדתו משרת הפקודה והבקרה (C2) של ההאקרים.
לאחר מכן יוצר ה- MSI תיקיה חדשה בספריית %appdata%\Local ומאחסן שלושה קבצים: קובץ הפעלה לגיטימי שנחטף, ה- DLL הטוען והמטען המוצפן של PlugX (data.dat). שוב, התוכנה הלגיטימית מופעלת ונוזקות PlugX נטענות לזיכרון באמצעות טעינת DLL, בצד במאמץ להימנע מזיהוי. כדי להבטיח התמדה במערכת המחשוב הנגועה, יוצרת הנוזקה ספרייה נסתרת שבה היא מאחסנת את קבצי ההפעלה וה- DLL הלגיטימיים ומוסיפה את התוכנה למפתח הרישום "הפעלה".
ברגע שה- PlugX מותקן ופועל על המחשב של הקורבן, הוא מסוגל לטעון קובץ PDF מטעה כדי להסיח את דעתו של הקורבן ולהפחית את חשדו. PlugX הינו RAT מודולרי שנמצא בשימוש על ידי מספר APTs סיניים מאז 2008 (APT – Advanced Persistent Threat). הוא מגיע עם מגוון רחב של פונקציות הכוללות חילוף קבצים, צילום מסך, רישום מקשים וביצוע פקודות. בעוד שהנוזקה משויכת בדרך כלל לקבוצות APT, היא הייתה גם בשימוש פושעי סייבר. הגרסה שצ'ק פוינט ראתה במתקפות SmugX זהה במידה רבה לאלו שנראו במתקפות אחרונות אחרות שיוחסו לפושעי סייבר סיניים, עם ההבדל שהיא השתמשה בצופן RC4 במקום XOR.
בהתבסס על הפרטים שנחשפו מאמינים חוקרי צ'ק פוינט כי מתקפות SmugX מלמדות כי קבוצות איומים סיניות מתחילות להתעניין ביעדים אירופיים, ככל הנראה לצורך ריגול.
