L’attore di minaccia collegata in Cina dietro il recente sfruttamento all’interno del mondo di un difetto di sicurezza critico in SAP Netweaver è stato attribuito a una serie più ampia di attacchi che mirano a organizzazioni in Brasile, India e Sud-est asiatico dal 2023.
“L’attore di minaccia si rivolge principalmente alle vulnerabilità di iniezione SQL scoperte su applicazioni Net per accedere ai server SQL di organizzazioni mirate” disse In un’analisi pubblicata questa settimana. “L’attore sfrutta anche varie vulnerabilità notice per sfruttare i server rivolti al pubblico”.
Alcuni degli altri obiettivi di spicco del collettivo avversario includono Indonesia, Malesia, Filippine, Tailandia e Vietnam.
La società di sicurezza informatica sta monitorando l’attività sotto il moniker Terra Lamiaaffermando che l’attività condivide un certo grado di sovrapposizione con i cluster di minacce documentati dai laboratori di sicurezza elastici come REF0657Sophos come Stac6451e Palo Alto Networks Unit 42 come CL-STA-0048.
Ognuno di questi attacchi ha preso di mira le organizzazioni che abbracciano più settori nell’Asia meridionale, sfruttando spesso i server Microsoft SQL esposti a Web e altri casi per condurre la ricognizione, distribuire strumenti post-sfruttamento come Cobalt Strike e Supershell e stabilire tunnel di proxy alle reti delle vittime che utilizza Rakshasa e Stoway.
Utilizzati sono anche strumenti di escalation dei privilegi come Godpotato e Juicypotato; Utilità di scansione di rete come FSCAN e KSCAN; e programmi legittimi come wevtutil.exe per pulire i registri di eventi di Home windows, sistema e di sicurezza.
Selezionare le intrusioni rivolte alle entità indiane hanno anche tentato di distribuire Imitare il ransomware I binari per crittografare i file delle vittime, sebbene gli sforzi non fossero in gran parte senza successo.
“Mentre gli attori sono stati visti organizzare i binari ransomware mimici in tutti gli incidenti osservati, il ransomware spesso non ha eseguito con successo e, in diversi casi, gli attori sono stati visti nel tentativo di eliminare i binari dopo essere stati distribuiti”, ha osservato il Sophos in un’analisi pubblicata nel 20 agosto.
Poi all’inizio di questo mese, eclecticiq divulgato Il fatto che CL-STA-0048 fosse uno dei numerosi gruppi di spionaggio informatico Cina-Diemus per sfruttare CVE-2025-31324, un file critico non autenticato di caricare la vulnerabilità in SAP Netweaver per stabilire una shell inversa verso l’infrastruttura sotto il suo controllo.
Oltre a CVE-2025-31324, si cube che l’equipaggio di hacking abbia armato fino a otto numerous vulnerabilità per violare i server rivolti al pubblico-
Descrivendolo come “altamente attivo”, Pattern Micro ha osservato che l’attore delle minacce ha spostato la sua attenzione dai servizi finanziari alla logistica e al dettaglio on-line e, più recentemente, alle società IT, alle università e alle organizzazioni governative.
“All’inizio del 2024 e prima, abbiamo osservato che la maggior parte dei loro obiettivi erano organizzazioni all’interno del settore finanziario, specificamente legate a titoli e intermediazione”, ha affermato la società. “Nella seconda metà del 2024, hanno spostato i loro obiettivi alle organizzazioni principalmente nelle industrie logistiche e al dettaglio on-line. Di recente, abbiamo notato che i loro obiettivi si sono trasferiti di nuovo verso società IT, università e organizzazioni governative.”
Una tecnica degna di nota adottata da Earth Lamia è quella di lanciare le sue backdoor personalizzate come Pulsepack tramite DLL, caricamento laterale, un approccio ampiamente abbracciato dai gruppi di hacking cinesi. Un impianto modulare basato su .internet, Pulsepack comunica con un server remoto per recuperare vari plugin per svolgere le sue funzioni.
Pattern Micro ha dichiarato di aver osservato nel marzo 2025 una versione aggiornata del backdoor che modifica il metodo di comunicazione di comando e controllo (C2) da TCP a WebSocket, indicando uno sviluppo attivo in corso del malware.
“Earth Lamia sta conducendo le sue operazioni in più paesi e industrie con intenzioni aggressive”, ha concluso. “Allo stesso tempo, l’attore delle minacce perfeziona continuamente le loro tattiche di attacco sviluppando strumenti di hacking personalizzati e nuove backdoor.”
