Aralık 2020’den bu yana Avrupa ve Asya’daki hükümet ve askeri kuruluşlara yönelik bir dizi saldırıyla bağlantılı olan ToddyCat hacker grubu, China Chopper web kabuğunu dağıtmak ve çok aşamalı bir enfeksiyon zincirini etkinleştirmek için bilinmeyen bir istismar kullanarak Tayvan ve Vietnam’daki Microsoft Exchange sunucularını hedefleyerek faaliyetlerine başladığı öne sürüldü.
Kaspersky yayınladığı bir raporda, ‘’İlk saldırı dalgası genellikle 80 ve 443 numaralı bağlantı noktalarında çalışan ve pasif bir arka kapı olan Samurai ile güvenliği ihlal edilen Microsoft Exchange sunucularını hedef aldı.’’ ifadelerini kullandı.
Kaspersky Global Araştırma ve Analiz Ekibi (GReAT) güvenlik araştırmacısı Giampaolo Dedola, “ToddyCat, algılamayı önlemek için birden fazla teknik kullanan ve bu nedenle düşük profilli tutan gelişmiş bir APT grubu olarak biliniyor. Hem hükümet hem de askeri olarak etkilenen kuruluşlar, bu grubun çok yüksek profilli hedeflere odaklandığını ve muhtemelen jeopolitik çıkarlarla ilgili kritik hedeflere ulaşmak için kullanıldığını gösteriyor.” şeklinde konuştu.
ESET tarafından ise Websiic takma adıyla izlenen ToddyCat’in, Asya’daki özel şirketlere ve Avrupa’daki bir devlet kurumuna ait e-posta sunucularını hedeflemek için ProxyLogon Exchange kusurlarından yararlandığı için Mart 2021’de gün ışığına çıktığını belirtti.
ToddyCat kurbanlarının geleneksel olarak Çince konuşan gruplar tarafından hedef alınan ülkeler ve sektörlerle ilgili olması da dikkat çekti.
