Um sofisticado ataque cibernético atribuído ao grupo de cibercriminosos APT41 direcionou-se à indústria de jogos de azar. Segundo Ido Naor, durante um período de pelo menos seis meses, os invasores coletaram informações valiosas da empresa visada, incluindo configurações de rede, senhas de usuários e segredos do processo LSASS. Os atacantes atualizaram continuamente suas ferramentas com base nas respostas da equipe de segurança, alterando suas estratégias para evitar a detecção e manter o acesso à rede comprometida.

A campanha, que durou quase nove meses, teve semelhanças com um conjunto de intrusão rastreado pela Sophos sob o nome de Operação Crimson Palace. Naor destacou que a resposta da empresa ao incidente ocorreu há quatro meses e que esses ataques são impulsionados por decisões de atores patrocinados pelo estado, com o APT41 buscando ganhos financeiros. O ataque foi meticulosamente planejado, utilizando táticas furtivas e um conjunto de ferramentas personalizadas que ignoram o software de segurança existente, além de coletar informações críticas e estabelecer canais secretos para acesso remoto.

O vetor de acesso inicial utilizado no ataque permanece desconhecido, mas há indícios de que os invasores usaram e-mails de spear-phishing. Após infiltrarem a infraestrutura visada, executaram um ataque DCSync para coletar hashes de senha e expandir seu acesso, focando principalmente em contas administrativas. Entre as técnicas empregadas estão o sequestro de DLLs e o uso do utilitário wmic.exe para executar código malicioso. O ataque culminou na comunicação com um servidor C2 codificado, permitindo o traçado de perfis do sistema infectado e a execução de malware adicional, com um foco específico em máquinas dentro de sub-redes VPN.