Siber tehdit aktörlerinin, Evilnum adı verilen arka kapıyı kullanılarak Avrupa ve Orta Doğu’daki seyahat acentelerini hedeflediği ortaya çıktı. Ayrıca yasal ve finansal yatırım kurumlarının da hedeflendiğini belirten araştırmacılar, Janicab adı verilen kötü amaçlı yazılımın varyantının bu tür saldırılarda kullandığını ifade ettiler.
Janicab enfeksiyonlarının; Mısır, Gürcistan, Suudi Arabistan, BAE ve Birleşik Krallık’ta çeşitli kurbanlarının bulunduğu da gelen bilgiler arasında yer aldı. Fakat Suudi Arabistan’daki yasal kuruluşların bu grup tarafından ilk kez hedef alınması dikkat çekti. DeathStalker olarak bilinen grubun, gizli kurumsal bilgileri sızdırmak için Janicab, Evilnum, Powersing ve PowerPepper gibi arka kapıları kullandığı da belirtildi.
Uzmanlar, ‘’Hassas ticari bilgileri toplamaya olan ilgileri, DeathStalker’ın kiralık bilgisayar korsanlığı hizmetleri sunan veya finansal çevrelerinde bir tür bilgi komisyoncusu olarak hareket eden bir grup paralı asker olduğuna inanmamıza neden oluyor.’’ dedi. DeathStalker’ın izinsiz girişleri hedef odaklı kimlik avı saldırısı aracılığıyla ilk erişim için bir ZIP arşivinin içerisine yerleştirilmiş LNK tabanlı bir sistem kullandığı da keşfedildi. Araştırmacılar, ‘’Siber saldırganlar, listelenmemiş eski YouTube bağlantılarını kullandığından, ilgili bağlantıların YouTube’da bulunma olasılığı neredeyse sıfır. Bu aynı zamanda siber suçluların C2 altyapısını yeniden kullanmasına da etkili bir şekilde izin veriyor.’’ şeklinde konuştular. Ayrıca siber tehdit aktörünün uzun süreler boyunca gizliliğini korumak için kötü amaçlı yazılım araç setini güncellemeye devam ettiği de vurgulandı.
