Een cyberspionagecampagne georganiseerd door de door China gesteunde Winnti groep is er in geslaagd om in ieder geval sinds 2019 onder de radar te blijven.
De grootschalige operatie voor diefstal van intellectueel eigendom, die door het Israëlische cyberbeveiligingsbedrijf Cybereason “Operation CuckooBees” werd genoemd, stelde de Winnti groep in staat om honderden gigabytes aan informatie te exfiltreren.
Doelwitten waren onder meer technologie- en productiebedrijven in Oost-Azië, West-Europa en Noord-Amerika.
“De aanvallers richtten zich op intellectueel eigendom dat door de slachtoffers was ontwikkeld, waaronder gevoelige documenten, blauwdrukken, diagrammen, formules en productiegerelateerde bedrijfseigen gegevens”, aldus de onderzoekers.
“Daarnaast verzamelden de aanvallers informatie die gebruikt kan worden voor toekomstige cyberaanvallen, zoals details over de bedrijfseenheden van het doelwit, netwerkarchitectuur, gebruikersaccounts en -referenties, e-mails van werknemers en klantgegevens.”
Winnti, dat ook door andere cyberbeveiligingsleveranciers wordt gevolgd onder de namen APT41, Axiom, Barium, en Bronze Atlas, is op zijn minst sinds 2007 actief.
“De intentie van de groep is gericht op diefstal van intellectueel eigendom van organisaties in ontwikkelde economieën, en met gematigd vertrouwen dat dit namens China gebeurt om de besluitvorming in een reeks Chinese economische sectoren te ondersteunen,” merkt Secureworks op in een dreigingsprofiel van de actor.
De door Cybereason gedocumenteerde infectieketen die uit meerdere fasen bestaat, omvat de exploitatie van op internet gerichte servers om een webshell te implementeren met als doel het uitvoeren van verkennings-, laterale verplaatsings- en gegevensexfiltratieactiviteiten.
