Kaspersky a descoperit campania de spionaj cibernetic PassiveNeuron care vizează serverele Windows

Global Research and Analysis Team (GReAT) de la Kaspersky a descoperit o campanie de spionaj cibernetic în desfăşurare, denumită PassiveNeuron, care vizează sistemele Windows Server din organizaţii guvernamentale, financiare şi industriale din Asia, Africa şi America Latină. Activitatea a fost observată din decembrie 2024 şi a continuat până în august 2025, conform unui comunicat transmis redacţiei.

După o pauză de şase luni, PassiveNeuron şi-a reluat operaţiunile, folosind trei instrumente principale - două dintre ele fiind anterior necunoscute - pentru a obţine şi menţine accesul la reţelele vizate.

Aceste instrumente sunt:

• Neursite, un backdoor modular;

• NeuralExecutor, un implant bazat pe .NET;

• Cobalt Strike, un framework de testare a penetrării adesea folosit de actorii ameninţărilor.

Backdoor-ul Neursite poate colecta informaţii despre sistem, gestiona procesele în execuţie şi direcţiona traficul de reţea prin gazde compromise, permiţând mişcarea laterală în cadrul reţelei. Au fost identificate mostre care comunică atât cu servere externe de comandă şi control, cât şi cu sisteme interne compromise.

NeuralExecutor este conceput pentru a livra payload-uri suplimentare. Implantul suportă mai multe metode de comunicare şi poate încărca şi executa assembly-uri .NET primite de la serverul său de comandă şi control.

În mostrele observate de GReAT, numele funcţiilor au fost înlocuite cu şiruri care conţin caractere chirilice, aparent introduse intenţionat de atacatori. Astfel de artefacte necesită o evaluare atentă în timpul atribuirii, deoarece pot funcţiona ca „false flags” menite să inducă în eroare analiştii. Pe baza tacticilor, tehnicilor şi procedurilor observate, Kaspersky evaluează cu un grad scăzut de încredere că această campanie este probabil asociată unui actor de limbă chineză. La începutul anului 2024, cercetătorii Kaspersky detectaseră deja activitatea PassiveNeuron şi descriseseră campania ca prezentând un nivel ridicat de sofisticare.

Mai multe informaţii sunt disponibile pe Securelist.com

Pentru a evita să deveniţi victima unui atac ţintit din partea unui actor cunoscut sau necunoscut, cercetătorii Kaspersky recomandă implementarea următoarelor măsuri:

• Oferiţi echipei SOC acces la cele mai recente informaţii despre ameninţări (Threat Intelligence - TI). Kaspersky Threat Intelligence Portal este un punct unic de acces la datele şi informaţiile despre atacuri cibernetice colectate de Kaspersky de-a lungul a peste 20 de ani.

• Îmbunătăţiţi competenţele echipei de securitate cibernetică pentru a face faţă celor mai noi ameninţări ţintite, prin cursurile online dezvoltate de experţii GReAT.

• Pentru detecţia, investigarea şi remedierea rapidă a incidentelor la nivel endpoint, implementaţi soluţii EDR, precum Kaspersky Endpoint Detection and Response.

• Pe lângă protecţia esenţială la nivel endpoint, adoptaţi o soluţie de securitate de nivel enterprise care detectează ameninţările avansate la nivel de reţea încă din fazele incipiente, cum este Kaspersky Anti Targeted Attack Platform.

• Deoarece multe atacuri ţintite încep cu phishing sau alte tehnici de inginerie socială, introduceţi programe de instruire privind conştientizarea securităţii şi dezvoltaţi abilităţi practice în echipă - de exemplu, prin intermediul Kaspersky Automated Security Awareness Platform.