O grupo de ciberespionagem Earth Ammit foi associado a duas campanhas distintas realizadas entre 2023 e 2024, que visaram entidades em Taiwan e Coreia do Sul, incluindo setores militar, satelital, industrial, de mídia, tecnologia e saúde. Pesquisadores de cibersegurança identificaram que as operações chamadas VENOM e TIDRONE exploraram cadeias de suprimentos de drones com foco em softwares de gestão empresarial (ERP).

A campanha VENOM atacou inicialmente provedores de serviços de software, utilizando vulnerabilidades em servidores web para instalar web shells e ferramentas de acesso remoto como REVSOCK e Sliver, dificultando a atribuição dos ataques. Também foi detectado o uso do malware personalizado VENFRPC, versão modificada do FRPC. A etapa seguinte, TIDRONE, teve como alvo a indústria militar, com ataques a fabricantes de drones em Taiwan e empresas na Coreia do Sul. Foram implantados malwares como CXCLNT e CLNTEND — este último detectado pela primeira vez em 2024 com capacidade de evitar detecção, executar módulos adicionais, capturar telas (SCREENCAP), escalar privilégios e desativar antivírus.

As campanhas compartilham infraestrutura e vítimas, sugerindo um operador comum, possivelmente ligado ao grupo chinês Dalbit. Os ataques seguem uma estratégia escalonada, começam com ferramentas genéricas e evoluem para soluções personalizadas visando alvos específicos. Em paralelo, especialistas de cibersegurança revelaram a campanha Swan Vector, que usou currículos falsos para atacar instituições educacionais e de engenharia mecânica em Taiwan e Japão. Utilizou o malware Pterois, que baixa o Isurus via Google Drive para executar o shellcode Cobalt Strike, empregando técnicas avançadas de evasão.