لوحظ أن الفاعل المعروف باسم Arid Viper يستخدم متغيرات محدثة من مجموعة أدوات البرمجيات الخبيثة في هجماته التي تستهدف الكيانات الفلسطينية منذ سبتمبر 2022.
وقالت سيمانتيك ، التي تتعقب المجموعة تحت اسم Mantis الذي يحمل عنوان الحشرات ، إن الخصم "يبذل جهودًا كبيرة للحفاظ على وجوده الدائم على الشبكات المستهدفة".
تُعرف مجموعة القرصنة أيضًا باسم APT-C-23 و Desert Falcon ، وقد ارتبطت مجموعة القرصنة بهجمات تستهدف فلسطين والشرق الأوسط على الأقل منذ عام 2014.
استخدمت Mantis ترسانة من أدوات البرمجيات الخبيثة محلية الصنع مثل ViperRat و FrozenCell (المعروف أيضًا باسم VolatileVenom) و Micropsia لتنفيذ وإخفاء حملاتها عبر أنظمة التشغيل Windows و Android و iOS.
يُعتقد أن المهاجمين هم من الناطقين باللغة العربية ومقيمين في فلسطين ومصر وتركيا ، وفقًا لتقرير نشرته شركة Kaspersky في فبراير 2015. وقد ربطت التقارير العامة السابقة المجموعة أيضًا بقسم الحرب الإلكترونية التابع لحركة حماس.
في أبريل 2022 ، لوحظ استهداف أفراد إسرائيليين بارزين يعملون في منظمات الدفاع وإنفاذ القانون وخدمات الطوارئ الحساسة بباب خلفي جديد من Windows يطلق عليه اسم BarbWire .
عادةً ما تستخدم تسلسلات الهجوم التي شنتها المجموعة رسائل بريد إلكتروني تصيد احتيالي وبيانات اعتماد اجتماعية مزيفة لجذب الأهداف إلى تثبيت برامج ضارة على أجهزتهم.
أحدث الهجمات التي تم تفصيلها بواسطة Symantec تستلزم استخدام إصدارات محدثة من Micropsia و Arid Gopher المخصص لخرق الأهداف قبل الانخراط في سرقة بيانات الاعتماد وتصفية البيانات المسروقة.
Arid Gopher ، وهو ملف قابل للتنفيذ تم ترميزه بلغة برمجة Go ، هو أحد أنواع البرامج الضارة Micropsia التي تم توثيقها لأول مرة بواسطة Deep Instinct في مارس 2022. التحول إلى Go ليس بالأمر غير المعتاد لأنه يسمح للبرامج الضارة بالبقاء تحت الرادار.
تم تصميم Micropsia ، إلى جانب قدرته على إطلاق حمولات ثانوية (مثل Arid Gopher) ، أيضًا لتسجيل ضغطات المفاتيح ، والتقاط لقطات شاشة ، وحفظ ملفات Microsoft Office داخل أرشيفات RAR للتسلل باستخدام أداة مخصصة تعتمد على Python.
"Arid Gopher ، مثل سابقه Micropsia ، هو برنامج ضار لسرقة المعلومات ، والغرض منه هو إنشاء موطئ قدم ، وجمع معلومات النظام الحساسة ، وإرسالها مرة أخرى إلى شبكة C2 (القيادة والتحكم) ،" قال Deep Instinct في الوقت.
تُظهر الأدلة التي جمعتها Symantec أن Mantis تحرك لنشر ثلاثة إصدارات متميزة من Micropsia و Arid Gopher على ثلاث مجموعات من محطات العمل بين 18 ديسمبر 2022 و 12 يناير 2023 ، كطريقة للاحتفاظ بالوصول.
من جانبه ، تلقى Arid Gopher تحديثات منتظمة وإعادة كتابة كاملة للشفرة ، حيث قام المهاجمون "بتحويل المنطق بين المتغيرات بقوة" كآلية للتهرب من الكشف.
"يبدو أن Mantis خصم حازم ومستعد لبذل الوقت والجهد لتعظيم فرص نجاحه ، كما يتضح من إعادة كتابة البرامج الضارة واسعة النطاق وقرارها بتقسيم الهجمات ضد المؤسسات الفردية إلى مجموعات منفصلة متعددة لتقليل فرص حدوث العملية بأكملها اكتشفت ، "خلصت سيمانتيك.