С 2023 года команда Qian Pangu внимательно отслеживает деятельность одной из наиболее скрытных кибергруппировок. Группа, обладающая неизвестной цепочкой эксплуатации уязвимостей Exchange, выделяется внушительным финансовым ресурсом, позволяющим закупать огромное количество сетевых активов — серверов VPS и доменных имён. Каждому новому объекту атаки соответствует отдельный домен, а IP-адреса для его разрешения меняются с высокой скоростью. За способность к молниеносной смене инфраструктуры и активность преимущественно в ночное время её прозвали NightEagle, присвоив внутренний номер APT -Q-95. Об этом пишет Securitylab.
С 2023 года команда Qian Pangu внимательно отслеживает деятельность одной из наиболее скрытных кибергруппировок. Группа, обладающая неизвестной цепочкой эксплуатации уязвимостей Exchange, выделяется внушительным финансовым ресурсом, позволяющим закупать огромное количество сетевых активов — серверов VPS и доменных имён. Каждому новому объекту атаки соответствует отдельный домен, а IP-адреса для его разрешения меняются с высокой скоростью. За способность к молниеносной смене инфраструктуры и активность преимущественно в ночное время её прозвали NightEagle, присвоив внутренний номер APT-Q-95.
NightEagle располагает обширной инфраструктурой доменов, каждый из которых используется строго для одного объекта атаки. Также злоумышленники активно атакуют системы, связанные с генеративными моделями ИИ. Все домены зарегистрированы через компанию Tucows, а IP-адреса во время работы вредоносного ПО указывают либо на локальные адреса, либо на американских провайдеров, включая DigitalOcean, Akamai и The Constant Company. Тайминг запросов — от 2 до 8 часов.