Jak system naprawdę widzi procesy i dlaczego to ważne przed analizą ukrywania
Czy da się ukryć działający proces przed administratorem systemu? Niestety tak – istnieją zaawansowane techniki pozwalające zataić obecność procesu zarówno w systemach Linux, jak i Windows. W tym artykule, omawiamy ukrywanie procesów krok po kroku: od metod działania w przestrzeni użytkownika (user-mode) po głębokie modyfikacje w jądrze systemu (kernel-mode).
Po „nietypowej wypłacie” z gorącego portfela Upbit — największej giełdy krypto w Korei Południowej — urzędnicy państwowi wskazali na północnokoreańską grupę Lazarus jako prawdopodobnego sprawcę. Według doniesień, napastnicy wyłudzili lub przejęli uprawnienia administracyjne i wytransferowali ok. 44,5 mld KRW (~30 mln USD), po czym giełda zamroziła depozyty i wypłaty oraz przeniosła środki do cold walletów. Upbit zapowiedział pokrycie strat klientów.
W skrócie
Cel: Upbit (Korea Płd.), gorący portfel.
Skala: ~30 mln USD wyprowadzonych aktywów.
Atrybucja wstępna: TTP wskazujące na Lazarus (KR/DPRK).
Działania obronne: wstrzymanie operacji on-chain, migracja do cold wallet, próby zamrożenia części środków.
Tło rynkowe: dzień wcześniej Naver Financial ogłosił przejęcie operatora Upbit (Dunamu) za ~10 mld USD; w toku incydentu odnotowano „abnormal withdrawal”.
Kontekst / historia / powiązania
Upbit był już celem głośnego włamania w 2019 r. (342k ETH, ~42–49 mln USD wówczas), które południokoreańska policja w 2024 r. formalnie powiązała z północnokoreańskimi grupami Lazarus/Andariel. Bieżący atak ma „podobny podpis” do sprawy z 2019 r., co wzmocniło hipotezę o DPRK.
W skali globalnej DPRK-APT (m.in. Lazarus/APT38) odpowiadały w ostatnich latach za rekordowe kradzieże krypto – np. Bybit, luty 2025: ~1,5 mld USD, oficjalnie wskazane przez FBI jako operacja powiązana z „TraderTraitor”.
Analiza techniczna / szczegóły luki
Wektor wejścia. Według urzędników napastnicy „podszyli się pod administratorów” Upbit i zainicjowali transfery, co sugeruje kompromitację kont uprzywilejowanych (phishing/OAuth/SSO abuse, kradzież kluczy) lub obejście kontroli transakcyjnych w hot walletach. Ten modus operandi — nadużycie tożsamości adminów i szybkie odprowadzenie środków do mieszarek/chain hopping — był wielokrotnie obserwowany przy operacjach Lazarusa.
Łańcuchy prania. Historycznie Lazarus stosował segmentację przepływów, równe porcjowanie transakcji, cross-chain swapy i miksery (np. Sinbad / wcześn. Blender), co odnotowywały firmy analityczne i organy ścigania. W sprawie Upbit śledczy próbowali śledzić i zamrażać fragmenty środków już w pierwszej dobie.
Wskaźniki i TTP (przykładowe):
Impersonacja admina / kradzież sesji / złośliwe podpisy transakcyjne (blind-signing) – technika używana także w Bybit 2025.
Porcjowanie wypłat na powtarzalne kwoty i wielowarstwowe miksy.
Praktyczne konsekwencje / ryzyko
Ryzyko dla użytkowników: krótkoterminowe wstrzymania wypłat/depozytów, opóźnienia w rozliczeniach i możliwe skoki fee. Upbit deklaruje pokrycie strat, ale presja płynnościowa może utrzymywać się do czasu pełnej rekonsyliacji.
Ryzyko systemowe: ataki na warstwę operacyjną giełd (tożsamość i uprawnienia) omijają typowe zabezpieczenia smart-kontraktów.
Ryzyko regulacyjne: nowe wytyczne dot. kluczy admina, cold-/warm-wallet policy, obowiązkowe „withdrawal throttling” i adresy-dozwolone (allowlist) są coraz bardziej prawdopodobne po serii incydentów 2024–2025. Trend potwierdza skala Bybit 2025 i statystyki DPRK z raportów analitycznych.
Rekomendacje operacyjne / co zrobić teraz
Dla giełd i kustodianów
Zerowy zaufanie dla operacji admina: U2F/WebAuthn + FIDO2 dla kont uprzywilejowanych, polityka „two-person rule” dla podpisów > X USD i obowiązkowe timelocki dla wypłat z hot/warm walleta.
Segmentacja kluczy i horyzontów czasowych: dziel klucze na role (init/sign/approve), ogranicz okna ważności sesji i stosuj „just-in-time access”.
Automatyczne reguły AML on-chain: blokady heurystyczne na znane węzły prania DPRK, eskalacja KYC i natychmiastowe freeze requesty do partnerów.
Runbooki kryzysowe: gotowe playbooki z listą kontaktów (LEA, analityka blockchain, giełdy partnerskie), „war room” i wstępnie uzgodnione komunikaty.
Monitoring nieinteraktywny kluczy: HSM + polityki nieopuszczania klucza, separacja środowisk podpisu, detekcja anomalii w patternach wypłat (równe porcje, cicliczne batch’e).
Ćwiczenia red-team/blue-team z scenariuszem DPRK TraderTraitor.
Dla użytkowników
Trzymaj większe środki w self-custody (hardware wallet), włącz allowlisty adresów i limity dobowych wypłat.
Weryfikuj komunikaty giełdy wyłącznie w oficjalnych kanałach i wstrzymaj się z dużymi transferami, dopóki giełda nie zakończy pełnej rekonsyliacji po incydencie.
Różnice / porównania z innymi przypadkami
Upbit 2019 vs. Upbit 2025: wspólne elementy to atak na warstwę operacyjną giełdy i wzorce wypłat przypisywane DPRK; różni się skala (2019: ~42–49 mln USD, 2025: ~30 mln USD) oraz dojrzałość mechanizmów zamrażania środków.
Bybit 2025 (1,5 mld USD): inny profil — manipulacja procesem podpisu (blind-signing) i największa znana pojedyncza kradzież, oficjalnie przypisana DPRK przez FBI; pokazuje eskalację zdolności napastnika.
Podsumowanie / kluczowe wnioski
Wstępna atrybucja do Lazarus (KR) jest spójna z historią ataków na Upbit i globalną aktywnością DPRK w 2024–2025.
Wektor tożsamościowy/administracyjny pozostaje najsłabszym ogniwem dużych giełd — „smart” kontrola wypłat musi iść w parze z twardymi procedurami dla kont uprzywilejowanych.
Rynek powinien traktować runbooki incident-response i automatyczne freeze’y jako standard branżowy.
Statystyki z 2024–2025 (1,34 mld USD skradzione przez KR-APT w 2024; 1,5 mld USD w pojedynczym incydencie 2025) wskazują, że ryzyko systemowe nie maleje mimo spadku części wskaźników rynkowych.
Źródła / bibliografia
The Record: „Officials accuse North Korea’s Lazarus of $30 million theft from crypto exchange” (01.12.2025). (The Record from Recorded Future)
Reuters: „Naver’s payment arm to acquire Dunamu (Upbit) in $10 bln deal” + wzmianka o „abnormal withdrawal” (27.11.2025). (Reuters)
Reuters (za Yonhap): „South Korea suspects North Korea behind hack of crypto exchange Upbit” (28.11.2025). (Reuters)
Chainalysis: „Bybit hack… DPRK stole ~$1.34B across 47 incidents in 2024” (24.02.2025). (Chainalysis)
CVE‑2019‑11510 to krytyczna podatność typu pre‑auth arbitrary file read w Ivanti/Pulse Connect Secure (PCS). Umożliwia niezalogowanemu napastnikowi odczyt plików z urządzenia VPN poprzez specjalnie przygotowane żądanie HTTP, co w praktyce prowadzi do kradzieży konfiguracji, kluczy i tokenów sesji oraz dalszych włamań z pominięciem MFA. Z punktu widzenia ATT&CK odpowiada to T1190 (Initial Access), a po eksfiltracji sekretów typowo obserwujemy *T1552. (Unsecured Credentials)**, T1539 (Steal Web Session Cookie) i później T1078 (Valid Accounts). Patching do wersji naprawiających (np. 8.2R12.1, 8.3R7.1, 9.0R3.4 i nowsze) jest obowiązkowy, a urządzenia należy weryfikować narzędziem Integrity Checker Tool (ICT) oraz logami WAF/ALB.
Krótka definicja techniczna
CVE‑2019‑11510: w Pulse Connect Secure (PCS) do wersji 8.2<8.2R12.1, 8.3<8.3R7.1 i 9.0<9.0R3.4 błąd w walidacji ścieżek umożliwia nieuwierzytelniony odczyt dowolnych plików poprzez spreparowany URI. CVSS v3.1 = 10.0 (CRITICAL).
Gdzie występuje / przykłady platform
Network/Appliance: Ivanti/Pulse Connect Secure (sprzęt/VM) — wektor pierwotny.
Windows / AD: po wycieku haseł/kluczy możliwy dalszy dostęp i lateral movement (T1078).
AWS: ślady/ochrona w AWS WAF (logi httpRequest.*) i ALB access logs.
Azure: Application Gateway WAF / Front Door — telemetryka wbicia i blokad. [brak oficjalnego cytatu — ogólna praktyka]
GCP: Cloud Armor / Chronicle parser dla Pulse Secure (syslog).
K8s / ESXi / M365: nie dotyczy bezpośrednio (pośredni wpływ poprzez kompromitację tożsamości).
Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)
Błąd pre‑auth file read umożliwia z poziomu Internetu pobieranie plików z urządzenia PCS. Atakujący używa spreparowanego żądania HTTP (z elementami przechodzenia po katalogach), aby ominąć autoryzację i uzyskać dostęp do zasobów urządzenia. Następnie eksfiltruje m.in. pliki konfiguracyjne, klucze i artefakty sesji, które mogą pozwolić na przejęcie aktywnych sesji, logowanie jak legalni użytkownicy (T1078) lub dalszą penetrację sieci. Podatność była szeroko wykorzystywana (CISA KEV), a technicznie wpisuje się w ATT&CK T1190.
Artefakty i logi
Źródło
Pole/artefakt
Wskaźnik
Komentarz
Pulse Secure syslog (Events/User/Admin)
log message / URI
nietypowe żądania do endpointów HTML5 + sekwencje traversal
Upewnij się, że eksportujesz syslog (WELF/Custom).
Reverse proxy / WAF
URI, query, status, UA, src IP
obecność wzorców path traversal, słowa‑klucze związane z HTML5 gateway
Dobre miejsce do korelacji i rate‑limitu.
AWS WAF (CloudWatch Logs)
httpRequest.uri, action, terminatingRuleId
żądania z ../ i słowami kluczowymi; akcja ALLOW/BLOCK
Wzorzec „Guacamole” oraz traversal jest wskazywany w publicznych regułach Sigma dla CVE‑2019‑11510.
Splunk (SPL)
(index=web OR index=proxy OR index=waf OR sourcetype=pulse* OR sourcetype=aws:waf)
| eval uri=coalesce(cs_uri_stem, request, uri_path, url), q=coalesce(cs_uri_query, uri_query, query_string)
| where (like(uri, "%/dana%") OR like(uri, "%dana-na%"))
AND (like(uri, "%guacamole%") OR like(q, "%guacamole%"))
AND (like(uri, "%../%") OR like(q, "%../%") OR like(uri, "%..%2F%") OR like(q, "%..%2F%"))
| stats count dc(src) AS src_ips values(user) AS users by uri, q, user_agent, dest
| where count > 0
KQL (Microsoft Sentinel / Log Analytics)
let IOCUri = dynamic(["/dana", "dana-na"]);
let Kw = "guacamole";
(union isfuzzy=true
CommonSecurityLog
| extend uri = coalesce(RequestURL, RequestURI, concat(URL, URLQuery)), src = SourceIP, ua = RequestClientApplication
, AzureDiagnostics
| where Category has "ApplicationGatewayFirewallLog"
| extend uri = requestUri_s, src = clientIp_s, ua = userAgent_s
)
| where uri has_any (IOCUri) and uri contains Kw and (uri contains "../" or uri contains "..%2F")
| summarize cnt=count(), make_set(src), make_set(ua) by bin(TimeGenerated, 5m), tostring(uri)
AWS CloudWatch Logs Insights (AWS WAF)
# Log Group: /aws/waf/<twoj-webacl>
fields @timestamp, httpRequest.clientIp, httpRequest.method, httpRequest.uri, action, terminatingRuleId
| filter httpRequest.uri like /dana/ and httpRequest.uri like /\.\./ and httpRequest.uri like /guacamole/
| stats count() as hits by httpRequest.clientIp, action, terminatingRuleId, httpRequest.uri
| sort hits desc
Pola httpRequest.*, action, terminatingRuleId pochodzą z oficjalnego schematu logów AWS WAF.
Elastic (KQL + EQL)
KQL (http logs / ecs):
url.path:/dana* AND url.path:*guacamole* AND (url.path:*../* OR url.query:*..%2F*)
EQL (sieć/HTTP):
network where network.protocol == "http"
and wildcard(url.path, "/dana*")
and stringcontains(url.path, "guacamole")
and (stringcontains(url.path, "../") or stringcontains(url.query, "..%2F"))
Seria prób z różnych IP/ASN + wspólny UA (skaner) ⇒ obniż priorytet lub taguj jako „scanner/bot”.
Po próbach: nowe sesje VPN z nieznanych ASN, nietypowa geografia (impossible travel), zmiana fingerprintu TLS → koreluj z logowaniem do AD/VPN. (CISA wskazywała takie objawy przy kampaniach na PCS.)
False positives / tuning
Legalny ruch HTML5 (Guacamole) bez traversal powinien być akceptowany — warunek na ../ / %2e%2e jest kluczowy.
Skany bezpieczeństwa / bug‑bounty generują podobne wzorce — whitelistuj znane zakresy.
Deduplikuj zdarzenia na 5–10 min, grupując po srcIP + UA + URI.
Playbook reagowania
Triaż i izolacja: jeśli reguły z §7 wskazują udane trafienia (200/206), natychmiast odetnij dostęp administracyjny do PCS / wstaw przed nim regułę WAF blokującą wzorce traversal.
Weryfikacja stanu PCS: uruchom Ivanti Integrity Checker Tool (ICT) (wbudowany lub zewnętrzny) i zarchiwizuj wynik.
Forensyka: zgraj logi (Events/User/Admin), eksport syslog z SIEM, logi WAF/ALB. (Dokumentacja logowania PCS.)
Patching / remediacja: zaktualizuj PCS do wersji naprawiających CVE‑2019‑11510 (≥8.2R12.1, ≥8.3R7.1, ≥9.0R3.4). Jeśli ICT wykrył modyfikacje — rozważ reinstalację obrazu i rotację kluczy/certyfikatów.
Reset/rotacja: wymuś reset haseł VPN/AD, rotuj certyfikaty/klucze używane przez PCS, unieważnij aktywne sesje. (Powiązanie z T1552.*).
Hunting post‑exploitation: szukaj logowań z nowych ASN, użycia skradzionych ciasteczek/tokens (T1539), nietypowych mapowań ról.
Twardnienie: stałe reguły WAF blokujące traversal, MFA wszędzie, segmentacja i ograniczenie dostępu do konsoli administracyjnej PCS.
Zgłoszenia i KEV: traktuj jako KEV i raportuj zgodnie z procesem (CISA KEV).
Przykłady z kampanii / case studies
REvil/Sodinokibi (2019–2020) — raporty łączyły wątki ransomware z wykorzystaniem PCS w wektorze wejścia.
„Fox Kitten” (APT z Iranu, 2019–2020) — szeroka eksploatacja VPN (w tym Pulse) jako początkowego dostępu; utrzymywanie backdoorów.
CISA alerty (2020+) — ostrzeżenia o kontynuowanej eksploatacji niezałatanych PCS; zalecenia aktualizacji i hardeningu.
Lab (bezpieczne testy) — przykładowe komendy
Tylko w odizolowanym labie. Celem jest wytworzenie logów do weryfikacji reguł, bez uderzania w realny PCS.
Symulacja logów na NGINX (Docker)
docker run -d --name nginx -p 8080:80 nginx:alpine
# Generowanie „szumu” traversal + słowo-klucz (log only):
for p in "/test/guacamole/../../etc/hosts" "/dana-na/../test/guacamole/..%2F..%2Ffile" ; do
curl -s "http://127.0.0.1:8080${p}?q=check" >/dev/null
done
Weryfikacja detekcji — załaduj logi access.log do SIEM i uruchom reguły z §7.
Test WAF — utwórz regułę blokującą sekwencje traversal i sprawdź, czy zapisy AWS WAF rejestrują akcję BLOCK oraz terminatingRuleId.
29 listopada 2025 r. rząd premier Sanye Takaichi zapowiedział przyjęcie w grudniu nowej strategii cyberbezpieczeństwa, która ma „podjąć potrzebne kroki” przeciw zagrożeniom z zagranicy – od ingerencji w wybory po ataki na infrastrukturę krytyczną. Projekt dokumentu podkreśla wzrost aktywności grup wspieranych przez państwa (Chiny, Rosję, Korea Północna) oraz zapowiada „obronę i odstraszanie z państwem w roli rdzenia”, w nawiązaniu do wcześniej uchwalonego prawa o aktywnej cyberobronie. Strategia wskazuje także na ryzyko manipulacji opinią publiczną z wykorzystaniem generatywnej AI.
W skrócie
Nowa strategia (grudzień 2025): ukierunkowanie na zagraniczne zagrożenia, ochronę procesów wyborczych i infrastruktur, włączenie walki z dezinformacją AI.
Aktywna cyberobrona (ACD): ramy prawne przyjęte w 2025 r. pozwalają na bardziej proaktywne działania państwa (monitoring, kontrakcje), z pełnym wejściem w życie planowanym etapowo.
Rola państwowego centrum: centralizacja zbierania i analizy incydentów (w projekcie: rola National Cybersecurity Office/NISC).
Geopolityka: strategia spójna z szerszym kursem rządu Takaichi na wzmocnienie bezpieczeństwa i odstraszania.
Kontekst / historia / powiązania
W maju 2025 r. Japonia uchwaliła ustawę o Active Cyber Defense (ACD), która przestawia kraj z modelu wyłącznie reaktywnego na bardziej „ofensywnie defensywny” – umożliwia m.in. intensywniejszy monitoring komunikacji obejmującej zagraniczne adresy IP, szybsze działania organów ścigania i SDF, a także obowiązki raportowania po stronie operatorów infrastruktury krytycznej. Przełamanie dotychczasowych barier (m.in. konstytucyjnych i prywatnościowych) ma odpowiadać na rekordowy poziom ataków i niedobór specjalistów.
Równolegle Japonia porządkuje polityki gospodarcze i bezpieczeństwa (np. przegląd inwestycji zagranicznych pod kątem ryzyka), a premier Takaichi akcentuje zwiększanie wydatków obronnych oraz aktualizację strategii bezpieczeństwa państwa. Te elementy tworzą tło dla nowej strategii cyber.
Analiza techniczna / szczegóły strategii
1) Priorytet: zagraniczne zagrożenia i wybory. Projekt wprost wskazuje na ingerencję w procesy demokratyczne oraz ataki sponsorowane przez państwa (Chiny, Rosja, Korea Płn.), co wpisuje się w globalne ostrzeżenia dot. „blended operations” (espionage + influence).
2) Obrona i odstraszanie „z państwem w rdzeniu”. Strategia ma wykorzystać instrumenty ACD: wcześniejszą identyfikację i neutralizację infrastruktur atakujących, możliwość szybkiego pozyskiwania danych o wektorach ataku, oraz koordynację reakcji między policją, NISC/NCO i SDF.
3) AI i operacje informacyjne. Dokument łączy rozwój generatywnej AI ze wzrostem ryzyka manipulacji społecznej (syntetyczne treści, botnety, mikro-targetowanie), co – jak podkreślają również raporty japońskich instytucji – zwiększa skalę i tempo dezinformacji.
4) Centralna rola NCO/NISC. Projekt przewiduje wzmocnienie centralnego ośrodka (w przekazie: National Cybersecurity Office), odpowiedzialnego m.in. za agregację danych o szkodach w sektorze prywatnym oraz za współpracę międzynarodową. Publicznie dostępne materiały NISC potwierdzają mandat koordynacyjny i kanały współpracy (np. w ASEAN).
5) Spójność z politykami przekrojowymi. W dokumentach rządowych dotyczących cyfryzacji uwzględnia się też przeciwdziałanie fake newsom i dezinformacji w sytuacjach kryzysowych – te wątki mają naturalną synergię z nową strategią cyber.
Praktyczne konsekwencje / ryzyko
Wyższe wymogi raportowe dla operatorów (szczególnie infrastruktury krytycznej i łańcuchów dostaw do sektora publicznego). Firmy współpracujące z Japonią powinny liczyć się z audytami, szybszymi terminami zgłaszania incydentów i „persistent engagement” po stronie państwa.
Silniejsza ochrona procesu wyborczego i większe oczekiwania wobec platform, mediów i dostawców narzędzi AI w zakresie moderacji i przejrzystości treści syntetycznych.
Ryzyka prawno-zgodnościowe dla podmiotów transgranicznych (telekomy, dostawcy chmurowi, MSSP): potencjalna rozbudowa obowiązków due diligence i wymogów lokalnej współpracy operacyjnej.
Geopolityka i kontrakty: projekty IT/OT finansowane publicznie mogą częściej wymagać zgodności z polityką bezpieczeństwa sojuszniczego (US-JP, UE-JP), w tym wymogami łańcucha dostaw i transparentności komponentów.
Rekomendacje operacyjne / co zrobić teraz
Mapowanie ekspozycji: zinwentaryzuj systemy, dane i kontrakty powiązane z Japonią (klienci, dostawcy, regiony chmury).
Zgodność i raportowanie: dopasuj procesy do możliwych wymogów ACD – szybkie zgłaszanie, współdzielenie IoC/TTP, kanały komunikacji z partnerami JP (NISC/NCO, JPCERT/CC).
Twardnienie OT/IoT: priorytetowo w sektorach energii, zdrowia, transportu – segmentacja sieci, SBOM, monitoring anomalii i testy odporności dostawców.
„AI-ready” opsec: wdroż polityki dot. treści syntetycznych (detekcja deepfake, watermarking, zasady publikacji) i plan reagowania na kampanie informacyjne łączone z cyberatakami.
Ćwiczenia Purple Team / Threat-led: scenariusze APT (CN/RU/PRK), ataki na logikę wyborczą, supply-chain (dev toolchain, repozytoria, CI/CD).
Klausule w umowach: zabezpieczenia dot. zgłaszania incydentów, wymogów telemetrycznych i prawa do audytu w relacjach z japońskimi kontrahentami.
Różnice / porównania z innymi przypadkami
USA/UK (defend forward/persistent engagement): Japonia z ACD zbliża się do modelu bardziej proaktywnego, ale – według dostępnych opisów – z mocnym akcentem na ramy prawne i nadzór cywilny.
UE: choć japońskie prawo nie kopiuje NIS2, kierunek centralizacji i obowiązków raportowych dla operatorów jest podobny; nacisk na walkę z dezinformacją AI również konwergentny z debatą europejską.
Podsumowanie / kluczowe wnioski
Japonia wchodzi w etap zdecydowanie bardziej proaktywnej polityki cyber. Po uchwaleniu ACD nowa strategia ma scalić działania państwa przeciw zagrożeniom z zagranicy (szczególnie wyborom i infrastrukturze) oraz uznać dezinformację napędzaną AI za wektor ryzyka systemowego. Organizacje działające na styku z rynkiem japońskim powinny przygotować się na bardziej rygorystyczne wymogi raportowania, nadzór i współpracę operacyjną z instytucjami JP.
Źródła / bibliografia
Nippon/Jiji: zapowiedź nowej strategii (29.11.2025). (Nippon)
The Japan Times: tło prawne i polityczne (maj–listopad 2025). (Japan Times)
Financial Times: przegląd zmian wynikających z Active Cyberdefence Law. (Financial Times)
NISC/National Cybersecurity Office: mandat i współpraca międzynarodowa. (nisc.go.jp)
Krytyczna podatność w Telerik UI for ASP.NET AJAX (do 2019.3.1023) pozwala na zdalne wykonanie kodu poprzez niezabezpieczoną deserializację JSON w komponencie RadAsyncUpload, zwykle w kontekście procesu w3wp.exe. Często wymaga znajomości kluczy szyfrujących (np. MachineKey) — możliwych do pozyskania m.in. przez starsze luki CVE‑2017‑11317/11357 — i jest powszechnie wykorzystywana w łańcuchach ataku (CISA KEV). Zalecenie: aktualizacja co najmniej do R1 2020 (2020.1.114), rotacja kluczy, włączenie WAF oraz proaktywna detekcja ruchu do Telerik.Web.UI.WebResource.axd?type=rau i procesów potomnych w3wp.exe.
Krótka definicja techniczna
CVE‑2019‑18935 to luka typu .NET deserialization w RadAsyncUpload (Telerik UI for ASP.NET AJAX), prowadząca do RCE po dostarczeniu specjalnie przygotowanych danych do endpointu m.in. Telerik.Web.UI.WebResource.axd?type=rau. Od wersji 2020.1.114 domyślne ustawienie łagodzi błąd; w 2019.3.1023 istnieje ustawienie niefabryczne ograniczające wektor. Często wykorzystywana łącznie z CVE‑2017‑11317/11357, które ułatwiają pozyskanie kluczy szyfrujących uploadera.
Gdzie występuje / przykłady platform
Windows / IIS – typowe środowisko dla aplikacji ASP.NET korzystających z Telerik UI (komponenty front‑end na serwerze).
Aplikacje firm trzecich (np. platformy CMS/CRM, jak Sitecore w starszych buildach, które pakowały Telerik UI) – ryzyko pośrednie, gdy komponent jest zależnością.
Chmura (IaaS/PaaS) – instancje IIS za ALB/WAF (AWS) lub Application Gateway/WAF (Azure); sama luka jest aplikacyjna, ale ślady widać w dziennikach WAF/ALB.
Szczegółowy opis techniki (jak działa, cele, dlaczego skuteczna)
Wektor: żądanie HTTP (zwykle POST) do /Telerik.Web.UI.WebResource.axd?type=rau z ładunkiem, który po stronie serwera trafia do deserializacji przez JavaScriptSerializer, umożliwiając wstrzyknięcie obiektu prowadzące do RCE.
Warunek sprzyjający: atak jest trivialny, gdy napastnik zna/odzyska klucze szyfrowania uploadera (MachineKey, parametry RadAsyncUpload) — często poprzez wcześniejsze błędy CVE‑2017‑11317/11357 (słaba kryptografia RAU) lub wyciek web.config.
Efekt: wykonanie kodu w kontekście IIS Worker Process (w3wp.exe), często skutkujące uruchomieniem cmd.exe/powershell.exe, zrzutem webshella lub ściągnięciem narzędzi.
Dlaczego skuteczna:
komponent szeroko rozpowszechniony (często “ukryty” jako zależność),
endpoint RAU bywa rzadko monitorowany,
łatwo ukryć się w normalnym ruchu HTTP(S),
luka jest w KEV, więc aktywnie skanowana/wykorzystywana przez wiele grup.
Remediacja producenta: w R1 2020 (2020.1.114) dodano bezpieczne domyślne ustawienia, starsze łatki nie wystarczają — zalecana aktualizacja do ≥ 2020.1.114.
Artefakty i logi
Źródło
Co szukać
Przykłady pól / EID
Uwaga
IIS W3C
Żądania do Telerik.Web.UI.WebResource.axd?type=rau, nietypowe POST z dużym cs-bytes, 4xx/5xx przy próbach
(index=web OR sourcetype=iis* OR sourcetype="aws:waf" OR sourcetype="azure:appgw")
| eval method=coalesce(cs_method, httpMethod_s, httpRequest.httpMethod, method)
| eval uri_stem=coalesce(cs_uri_stem, uri, requestUri_s, httpRequest.uri)
| eval uri_query=coalesce(cs_uri_query, query, requestQuery_s, httpRequest.args)
| search uri_stem="*Telerik.Web.UI.WebResource.axd*" (uri_query="*type=rau*" OR uri_stem="*DialogHandler.aspx*") method=POST
| stats count min(_time) as first max(_time) as last by method uri_stem uri_query src c_ip httpRequest.clientIp sc_status
Windows Security (4688) – potomne interpretery:
source="WinEventLog:Security" EventCode=4688
ParentProcessName="*\\w3wp.exe"
(NewProcessName="*\\cmd.exe" OR NewProcessName="*\\powershell.exe" OR NewProcessName="*\\mshta.exe" OR NewProcessName="*\\rundll32.exe" OR NewProcessName="*\\cscript.exe" OR NewProcessName="*\\wscript.exe")
| stats count by ComputerName, SubjectUserName, ParentProcessName, NewProcessName, CommandLine, ParentCommandLine
KQL (Defender for Endpoint / Azure)
MDE – procesy potomne:
DeviceProcessEvents
| where InitiatingProcessFileName =~ "w3wp.exe"
| where FileName in~ ("cmd.exe","powershell.exe","mshta.exe","rundll32.exe","cscript.exe","wscript.exe")
| project Timestamp, DeviceName, InitiatingProcessAccountName, FileName, ProcessCommandLine, InitiatingProcessCommandLine
Azure WAF / AppGW (Log Analytics):
AzureDiagnostics
| where ResourceType == "APPLICATIONGATEWAYS"
| where requestUri_s has "Telerik.Web.UI.WebResource.axd"
| where requestQuery_s has "type=rau" and httpMethod_s == "POST"
| project TimeGenerated, clientIp_s, httpMethod_s, requestUri_s, requestQuery_s, ruleSetType_s, action_s
CloudTrail / CloudWatch (AWS)
Uwaga: CloudTrail nie rejestruje treści HTTP aplikacji. Do detekcji użyj AWS WAF logs (CloudWatch Logs) lub ALB access logs. CloudWatch Logs Insights (WAF):
fields @timestamp, httpRequest.clientIp, httpRequest.uri, httpRequest.args, httpRequest.httpMethod, action
| filter httpRequest.uri like /Telerik\.Web\.UI\.WebResource\.axd/
and httpRequest.args like /type=rau/
and httpRequest.httpMethod = "POST"
| sort @timestamp desc
| limit 200
Elastic (KQL/EQL)
HTTP (Elastic APM / ingest):
url.path:"/Telerik.Web.UI.WebResource.axd" and url.query:*type\=rau* and http.request.method:POST
EQL – potomne procesy:
process where process.parent.name == "w3wp.exe" and
process.name in ("cmd.exe","powershell.exe","mshta.exe","rundll32.exe","cscript.exe","wscript.exe")
Heurystyki / korelacje
Korelacja 1:IIS RAU POST ➜ (±5 min) ➜ w3wp.exe -> cmd.exe/powershell.exe ➜ (±5 min) ➜ nowe pliki .aspx/.ashx w webroot.
Korelacja 2: Ten sam IP źródłowy generuje wiele 4xx/5xx na RAU i inne ścieżki eksploracyjne.
Korelacja 3: Nowe połączenia wychodzące z serwera WWW (który normalnie nie inicjuje ruchu) po RAU‑POST.
Korelacja 4: RAU‑POST + znany User‑Agent skanera + rzadkie geolokalizacje.
Korelacja 5: W środowiskach z WAF – zdarzenia “allowed but matched rule” dla WebResource.axd + POST.
ACSC i CISA opisują użycie CVE‑2019‑18935 w kampaniach, gdzie po eksploatacji dochodziło do dalszych etapów (webshelle, narzędzia).
Hunting w domenie: sprawdź lateral movement od konta serwisowego aplikacji.
Hardening:
WAF reguły na RAU, blokada publicznego dostępu do uploadów,
minimalne uprawnienia konta aplikacyjnego, App_Data bez exec,
monitoring w3wp.exe ➜ interpretery.
Zgłoszenie i lessons learned: KEV/CSIRT, aktualizacja runbooków.
Przydatne polecenia (PowerShell, bezpieczne):
# Nowe pliki skryptowe w webroot z ostatnich 7 dni
Get-ChildItem -Recurse "C:\inetpub\wwwroot" -Include *.aspx,*.ashx,*.asmx -ErrorAction SilentlyContinue |
Where-Object { $_.LastWriteTime -gt (Get-Date).AddDays(-7) } | Select FullName,Length,LastWriteTime
# Procesy potomne w3wp.exe (MDE lub lokalnie)
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4688} -MaxEvents 5000 |
Where-Object { $_.Properties[1].Value -like '*\w3wp.exe' } |
Select TimeCreated, @{n='NewProcess';e={$_.Properties[5].Value}}, @{n='Cmd';e={$_.Properties[8].Value}}
Przykłady z kampanii / case studies
CISA AA23‑074A: aktorzy APT eksploatowali CVE‑2019‑18935 w środowisku rządowym USA (IIS), często łącząc z CVE‑2017‑11317/11357.
Blue Mockingbird (Red Canary): w logach IIS widoczny RAU; po eksploatacji uruchamiano cmd.exe/powershell.exe, kończąc na kopaniu kryptowalut.
Raporty 2025 (eSentire): luka nadal popularnym wektorem wejścia do dostarczenia reverse shelli i eskalacji uprawnień.
ACSC (2020): wskazówki detekcyjne i dowody aktywnej eksploatacji — analiza ruchu do ...WebResource.axd?type=rau.
Lab (bezpieczne testy)
Tylko w odizolowanym środowisku testowym i na załatanych instancjach:
Symulacja hałasu detekcyjnego (IIS/WAF):curl -X POST "https://twoj-serwer.test/Telerik.Web.UI.WebResource.axd?type=rau" \ -H "Content-Type: application/x-www-form-urlencoded" \ --data "probe=1" Sprawdź, czy pipeline logów/warnów (IIS/WAF/SIEM) wyłapuje zdarzenie (bez żadnej próby eksploatacji).
Symulacja anomalii procesów: Uruchom prosty skrypt deployu aplikacji, który nie powinien generować w3wp.exe -> cmd.exe. Zweryfikuj, że reguła z 7.2 nie alarmuje (kalibracja FP).
Pod koniec listopada 2025 r. ujawniono skoordynowaną kampanię wymierzoną w sektor finansowy Korei Południowej, w której operatorzy ransomware Qilin (znani też jako Agenda) wykorzystali kompromitację jednego dostawcy usług IT (MSP), aby uzyskać skalowalny dostęp do dziesiątek klientów. Efektem była operacja „Korean Leaks” – trzy fale publikacji danych, co najmniej 28 ofiar i ponad 1 mln plików / 2 TB wykradzionych danych opublikowanych na DLS (data leak site). Rdzeniem ataku było naruszenie łańcucha dostaw – pojedynczy punkt awarii w postaci MSP obsługującego wielu asset managerów.
W skrócie
Wektor wejścia: kompromitacja MSP (prawdopodobnie GJTec), posiadającego uprzywilejowany dostęp do wielu firm z rynku asset management.
Skala: 3 fale publikacji (14.09, 17–19.09, 28.09–04.10.2025), łącznie 28 upublicznionych ofiar; część wpisów usunięto.
Narracja sprawców: propaganda i język „antykorupcyjny” wymieszane z klasyczną presją finansową (double extortion).
Tło geopolityczne: prawdopodobny udział/afiliacja północnokoreańskiego aktora Moonstone Sleet w ekosystemie Qilin (od lutego 2025).
Trend rynkowy: w październiku Qilin odpowiadał za ~29% globalnych incydentów ransomware — najaktywniejszy operator miesiąca.
Kontekst / historia / powiązania
Qilin/Agenda działa w modelu RaaS co najmniej od 2022 r., obsługując Windows, Linux i środowiska wirtualne, z taktyką podwójnego wymuszenia (szyfrowanie + wyciek). Grupa promuje się jako „patriotyczna” i utrzymuje centralny nadzór nad komunikatami publikowanymi na DLS (m.in. „zespół dziennikarzy”). W 2025 r. Qilin zanotował skok aktywności, częściowo dzięki współpracy i afiliacjom (w tym sygnalizowanej przez Microsoft współpracy Moonstone Sleet), co zbiegło się z gwałtownym wzrostem liczby ofiar w Korei Południowej we wrześniu.
Analiza techniczna / szczegóły luki
Łańcuch dostaw i pivot przez MSP. Bitdefender wskazuje trzy hipotezy źródła „skupionego” ataku (MSP/upstream vendor, exploit zero-day na powszechnym komponencie, szerokie przejęcia poświadczeń), z czego najbardziej prawdopodobna — i potwierdzona przez lokalne media — jest kompromitacja MSP. Korea JoongAng Daily podał 23.09.2025 r., że ponad 20 asset managerów ucierpiało po ataku na GJTec, dostawcę serwerów i systemów dla branży. Ten wspólny dostawca umożliwił szybkie, równoległe rozprzestrzenienie się infekcji.
TTP Qilin. Qilin oferuje wieloplatformowe binaria (Windows/Linux/ESXi), z elastycznymi trybami szyfrowania i naciskiem na exfiltrację. Lokalne analizy (AhnLab) podkreślają, że projekt szyfrowania utrudnia skuteczną deszyfrację bez kluczy. W ostatnich miesiącach raportowano również taktyki „cross-runtime” (np. uruchamianie ELF przez WSL w Windows) i nacisk na eskalację uprawnień oraz EDR-evasion — co tłumaczy skuteczność ataków na środowiska hybrydowe.
Narracja i presja. „Korean Leaks” odstawało od typowego „pay-or-publish”: fala 1 groziła ujawnieniem „manipulacji giełdowych” i nazw polityków, fala 2 eskalowała do „systemowego ryzyka dla rynku”, w fali 3 narracja wróciła do klasycznej presji finansowej na pojedyncze ofiary. To sugeruje redakcyjny nadzór operatorów Qilin nad treściami DLS.
Praktyczne konsekwencje / ryzyko
Ryzyko klastrowe: jeden MSP = dziesiątki ofiar w wąskiej niszy (asset management), skokowo rosnący impakt operacyjny i regulacyjny (PIPC).
Ryzyko rynkowe: groźby „wstrząsu dla giełdy” to element presji na regulatorów i opinię publiczną — zwiększają koszty niepłacenia.
Ryzyko międzynarodowe: zacieranie granic cybercrime/APT (afiliacje Moonstone Sleet) zwiększa trudność atrybucji i presję geopolityczną.
Trend makro: Qilin pozostaje najbardziej aktywnym operatorem — przygotuj IR/BCP na scenariusze wieloofiarowe.
Rekomendacje operacyjne / co zrobić teraz
Zarządzanie ryzykiem dostawców (TPRM) dla MSP:
pełna inwentaryzacja sesji uprzywilejowanych i dostępu stałego (VPN, RMM, bastiony), just-in-time + PoLP dla kont MSP;
wymuszenie MFA/ phishing-resistant dla wszystkich kanałów zdalnych (w tym kont serwisowych i API);
kontrakty: RTO/RPO, wymogi EDR/XDR 24/7, telemetria, logowanie i retencja, testy odzyskiwania oraz obowiązek notify w 24h o incydencie. (Wnioski z root-cause analizy Bitdefender).
Segmentacja i kontrola lateral movement: mikrosegmentacja dla stref „partner/MSP”, podwójne kontrole przy skokach do domeny produkcyjnej, deny-by-default dla RDP/SMB/VNC, skracanie TTL tokenów.
Twarde backupy + separacja domenowa: offline/immutable kopie (3-2-1-1-0), ćwiczenia bare-metal dla kluczowych systemów księgowych/portfelowych.
Kontrola exfiltracji: DLP na brzegu + brokerach chmurowych, mTLS między strefami, egress allow-list, wykrywanie anomalii (np. wycieki >GB w nocy).
Harden środowisk hybrydowych: monitorowanie WSL/Hyper-V/ESXi, blokady BYOVD, polityki kernel/driver, telemetryczne reguły dla nietypowych ELF w Windows.
Playbook IR pod Qilin: predefiniowane decyzje dot. negocjacji, ścieżka prawna pod RODO/KR PDPA, komunikacja z regulatorami i klientami, runbook do szybkiego remove’owania dostępu MSP.
Threat intel & detekcje: wskaźniki i behawiorystyka Qilin (loader, szyfrowanie, zmiany rozszerzeń, kill-list usług/AV), reagowanie na publikacje DLS; obserwacja wątków Moonstone Sleet.
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
MSP jako mnożnik szkód: znane z kampanii przeciw MSP (np. ScreenConnect/RMM spear-phishing), ale „Korean Leaks” wyróżnia skrajna koncentracja branżowa i spójny kalendarz publikacji. (Por. obserwacje o kampaniach Qilin na MSP).
Narracja „społeczna” vs. czysty zysk: rzadko spotykane u grup RaaS — tutaj propaganda („walka z korupcją”) była narzędziem szantażu reputacyjnego całego rynku, po czym wrócono do standardowego tonu extortion.
Zacieranie crime/APT: współdzielenie narzędzi i marek (Moonstone Sleet ↔ Qilin) komplikuje mapowanie TTP i model ryzyka; to trend szerzej obserwowany w 2025 r.
Podsumowanie / kluczowe wnioski
Jedno naruszenie MSP pozwoliło Qilin na „szeregowy” atak na dziesiątki firm — klasyczny przykład realnego ryzyka łańcucha dostaw w usługach IT.
Kampania „Korean Leaks” to mieszanka presji finansowej i narracji politycznej, z trzema falami publikacji i minimum 28 ofiarami.
Qilin dominuje statystyki (29% incydentów w październiku), a jego ekosystem możliwych afiliacji z aktorami państwowymi zwiększa ryzyko systemowe.
Priorytety obronne: kontrola dostępu i sesji MSP, segmentacja, odporne backupy, monitorowanie exfiltracji i środowisk hybrydowych oraz gotowe playbooki IR.
Źródła / bibliografia
Bitdefender — analiza „Korean Leaks” (24 listopada 2025). (Bitdefender)
The Hacker News — podsumowanie i oś czasu fal publikacji (26 listopada 2025). (The Hacker News)
Korea JoongAng Daily — potwierdzenie kompromitacji GJTec i skali w asset management (23 września 2025). (Korea Joongang Daily)
NCC Group — Threat Pulse: Qilin = ~29% wszystkich ataków ransomware w październiku 2025. (nccgroup.com)
Microsoft / Malware Encyclopedia — związek Qilin z Moonstone Sleet od lutego 2025 i TTP loadera. (microsoft.com)
Arctic Wolf poinformował, że we wrześniu 2025 r. rosyjsko-powiązana grupa RomCom (znana też jako Void Rabisu / Storm-0978) próbowała zainfekować amerykańską firmę inżynieryjną. Powodem był związek tej firmy z miastem partnerskim w Ukrainie — choć przedsiębiorstwo nie miało żadnych bezpośrednich powiązań z działaniami wojennymi. Atak został wykryty i zablokowany przed eskalacją. Incydent pokazuje, że cele „o niskim progu związku” z Ukrainą są dziś na liście priorytetów rosyjskich operatorów.
W skrócie
Wejście: kompromitacja przez SocGholish (fałszywe aktualizacje przeglądarki) obsługiwany przez aktora TA569. Po raz pierwszy zaobserwowano, że SocGholish dostarcza ładunek RomCom.
Ładunek: operator RomCom próbował dołożyć komponent Mythic Agent (framework C2).
Motywacja: „karanie” i rozpoznanie podmiotów wspierających ukraińskie instytucje (nawet pośrednio, np. relacje miast partnerskich).
Trend: szersza kampania Rosji przeciwko podmiotom powiązanym z pomocą dla Ukrainy (np. wcześniejsze spear-phishingi wymierzone w NGO).
Kontekst / historia / powiązania
RomCom od 2022 r. przechodzi ewolucję z mieszanki motywacji finansowych i szpiegowskich w kierunku ukierunkowanej cyber-szpiegowskiej kampanii przeciwko podmiotom powiązanym z Ukrainą i jej sojusznikami. W 2025 r. ESET udokumentował, że RomCom wykorzystywał zero-day w WinRAR (CVE-2025-8088) w kampaniach spear-phishingowych przeciwko sektorom w Europie i Kanadzie.
Równolegle operator TA569 (SocGholish) od lat rozwija scenariusze „fake update”, wstrzykując złośliwy JS w zaufane, ale skompromitowane witryny. Ten aktor zwykle działa jako initial access broker. Dzisiejsza nowość to połączenie łańcucha TA569 → RomCom, co znacząco zwiększa tempo i zasięg kampanii.
TTP: iniekcje JS na stronach o realnym ruchu, rotacja infrastruktur i „tematy” kampanii; obejście filtrów reputacyjnych dzięki nadużyciu zaufanych domen.
2) Łańcuch dostaw: SocGholish → RomCom
Arctic Wolf wskazuje, że po raz pierwszy zaobserwował dystrybucję ładunku RomCom przez SocGholish. To łączy ekosystem przestępczy (IAB TA569) z operacją ukierunkowaną (RomCom).
3) „Mythic Agent” – kontrola po zainfekowaniu
Cel końcowy to osadzenie agenta Mythic (framework C2) i uzyskanie trwałej kontroli nad hostem, z możliwością rozpoznania sieci, eskalacji uprawnień i eksfiltracji.
4) Alternatywne wektory RomCom (przykłady z 2025)
CVE-2025-8088 w WinRAR: archiwa RAR z path traversal, umożliwiające zapisy do katalogów autostartu i uruchamianie backdoorów (kampanie w połowie sierpnia 2025).
Praktyczne konsekwencje / ryzyko
Niski próg „przyczyny ataku”: wystarczy symboliczna relacja z Ukrainą (np. miasto partnerskie), aby znaleźć się na liście celów. To poszerza powierzchnię ataków na samorządy, firmy inżynieryjne, uczelnie, NGO, instytucje kultury.
Ryzyko wtórne dla OT/ICS: firmy inżynieryjne często dotykają środowisk operacyjnych (projekty infrastrukturalne). Nawet jeśli incydent został w porę zatrzymany, podobne kampanie mogą prowadzić do przyczółków w sieciach biurowych, a następnie do prób przeskoku do OT. (Wniosek na bazie TTP i profili celów.)
Efekt „zaufanej witryny”: SocGholish nadużywa przyzwyczajeń szkoleniowych (klikaj tylko na zaufanych stronach), bo zaufana strona jest chwilowo skompromitowana.
Rekomendacje operacyjne / co zrobić teraz
Detekcja i reagowanie
Reguły telemetryczne pod SocGholish/TA569: monitoruj nietypowe łańcuchy pobierania z wizualnymi „update prompts”, domeny TDS/redirection, wskaźniki z profili TA569; śledź procesy spawnujące z przeglądarki → skrypty JS/HTA/PowerShell.
Łańcuch RomCom / Mythic: detekcje dla dropperów RomCom i artefaktów Mythic (moduły C2, nietypowe komunikacje WebSocket/HTTP2, nietypowe persistence). Wykorzystaj wskazówki z raportu Arctic Wolf.
Hunting pod CVE-2025-8088: przeszukaj logi pod anomalie ekstrakcji RAR (zapisy poza docelowy katalog, ścieżki traversal, katalogi autostartu).
Prewencja i twardnienie 4. Blokuj klasę „fake update”: polityki Application Control (blokada wykonywania z %TEMP%, blokada HTA/JS/WScript), SSP/EDR z kontrolą skryptów i AMSI; blokuj pobieranie plików wykonywalnych z przeglądarki w sieci korporacyjnej. 5. Patch management: wymuś aktualizację WinRAR do 7.13 (brak auto-update!), usuń legacy UnRAR.dll; egzekwuj SLA na aktualizacje narzędzi archiwizacji. 6. Kontrole w samorządach/NGO: segmentacja gości/biuro/OT, izolacja stacji projektowych CAD/BIM, polityki zero trust dla plików od kontrahentów i z portali publicznych. 7. Szkolenia „anty-SocGholish”: doprecyzuj, że prawdziwe aktualizacje nie są dostarczane przez banery na przypadkowych stronach. Jeżeli strona nagle „żąda aktualizacji” — zamknij kartę, przejdź do ustawień przeglądarki i aktualizuj tylko z oficjalnego kanału.
IR i komunikacja kryzysowa 8. Playbook „city-to-city”: przygotuj playbook dla organizacji z relacjami miast partnerskich/uczestnictwem w programach pomocowych (kontakt operacyjny, wymiana IoC, minimalizacja danych o partnerstwach publikowanych publicznie). (Wniosek operacyjny na podstawie trendu celowania.) 9. Współpraca z CSIRT/CISA/CERT: śledź aktualne biuletyny dot. grup pro-Rosja i spear-phishingu przeciwko organizacjom wspierającym Ukrainę.
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
Nowość 2025: tandem TA569 (SocGholish) + RomCom z dostarczeniem Mythic Agent — nieobserwowany wcześniej kierunek dystrybucji (IAB → APT-like).
Inne kampanie pro-Ukraina: ataki spear-phishingowe na NGO (np. wariant PhantomCaptcha podszywający się pod urzędników i spotkania Zoom) — inna technika wejścia, ale ten sam wektor socjotechniki (zaufanie i pilność).
Eksploatacja zeroday (WinRAR): alternatywny, bardziej techniczny wektor RomCom bez łańcucha TA569, ale o podobnym celu końcowym (backdoor + C2).
Podsumowanie / kluczowe wnioski
Polityczne cele „o niskiej widoczności” (np. miasta partnerskie) stają się realnymi celami cyber.
