Bir Hintli hacker grubu, kendi geliştirme ortamına uzaktan erişim Truva Atı (RAT) bulaştırdıktan sonra açığa çıktı. Grup 2015’den beri özellikle Pakistan sitelerine saldırılarıyla ve “Hangover Group”, “Dropping Elephant”, “Chinastrats” ve “Monsoon” gibi tuhaf isimlerle de biliniyor.
Olayı ortaya koyan ve grubu PatchWork diye adlandıran Malwarebytes uzmanlarına göre, ocak ayında grup kendi Uzaktan Erişim Truva Atını (RAT) kendi sitelerine bulaştırmayı başardılar[1].
Pakistan makamlarından geliyormuş gibi görünen hedefli oltalama e-postaları yoluyla başlatılan BADNEWS RAT’ın (Ragnatela da deniliyor) yeni bir çeşidi bulunduğunda, araştırmacılar Savunma Bakanlığı, İslam Abad Milli Savunma Üniversitesi, Viyo-Bilim Üniversitesi gibi bazı önemli Pakistan sitelerine bu RAT’ın bulaştığını tespit etmişler. Ama arkasından da, 7 ocakta hacker grubunun kendi geliştirme makinesine de aynı trojanı bulaştırmayı başardığı ve RAT’ın suçluların kendi bilgisayarlarının ekran görüntüleriyle birlikte kendi tuş vuruşlarını yakaladığı keşfedilmiş[1].
Malwarebytes araştırmacıları, bilgisayar korsanlarının hem İngilizce hem de Hint klavye düzenleri kurulumuyla bilgisayarlarında hem VirtualBox hem de VMware çalıştırdığını ortaya çıkarmayı başardılar. Bilgisayar korsanlarının, kurbanlarının e-posta hesaplarına giriş yaparken IP adreslerini gizlemek amacıyla CyberGhost ve VPN Secure VPN’lerini kullandıkları görülüyor.
Patchwork’ün daha çok, biyomedikal ve moleküler bilimlerde uzmanlaşmış araştırma kurumlarından bireysel öğretim üyelerini hedef aldığı görülüyor.