Pesquisadores de segurança descobriram um novo ator de ameaça, ainda não documentado, que tem como alvo organizações nos setores de manufatura, TI e biomédica em Taiwan.

A equipe de caçadores de ameaças da Symantec, atribuiu os ataques a um grupo de ameaças persistentes avançadas (APT) que eles nomearam como Grayling.

Evidências indicam que a campanha de ataques começou em fevereiro de 2023 e continuou pelo menos até maio do mesmo ano. Além das organizações em Taiwan, uma agência governamental nas Ilhas do Pacífico e entidades no Vietnã e nos Estados Unidos também foram provavelmente alvos.

Grayling se destaca pelo uso de uma técnica distintiva de sideloading de DLL, que emprega um decodificador personalizado para implantar cargas úteis.

A motivação por trás dessa atividade parece ser a coleta de informações. O grupo conseguiu o acesso inicial às redes das vítimas explorando infraestruturas públicas.

Após o acesso inicial, foram implantados web shells para manter o acesso persistente. Uma vez obtido o acesso inicial, o grupo toma várias ações, incluindo a escalada de privilégios, varredura de rede e uso de downloaders.

Não há evidências até o momento de que o grupo tenha se envolvido em qualquer forma de exfiltração de dados.