„Diese taktische Anpassung ermöglicht die gleichen operativen Ergebnisse, nämlich das Sammeln von Anmeldedaten und laterale Bewegungen innerhalb der Online-Dienste und Infrastrukturen der Opfer, während gleichzeitig die Entdeckungsgefahr und der Ressourcenaufwand der Akteure reduziert werden“, so die Security-Spezialisten.
Verbindungen zu Sandworm und Curly COMrades
Die Telemetriedaten zeigen, dass es Überschneidungen zwischen der Infrastruktur der Gruppe und Sandworm gibt, die auch als APT44 und Seashell Blizzard bekannt ist und mit dem russischen Militärgeheimdienst GRU in Verbindung steht. Zudem besteht ein Zusammenhang mit einer Gruppe, deren Aktivitäten in der Vergangenheit von Bitdefender unter dem Namen Curly COMrades dokumentiert wurden.
Es könnte sich jedoch um zusammenarbeitende Untergruppen innerhalb des GRU handeln: Während die von Amazon verfolgte Gruppe den ersten Zugriff und die laterale Bewegung übernimmt, stellt Curly COMrades die Persistenz des Hosts durch seine benutzerdefinierten Malware-Implantate CurlyShell und CurlCat sicher.
