← Back to Pulse Feed
PULSE DETAIL
PULSE NAME
IOC&TTP - Deception in Depth PRC-Nexus Espionage Campaign Hijacks Web Traffic to Target Diplomats
2025年3月,Google Threat Intelligence Group(GTIG)发现一个复杂的网络间谍活动,由中国(PRC)关联的威胁组织 UNC6384 发起。该行动主要针对东南亚的外交人员,同时波及其他全球实体。攻击者利用 强制门户劫持(captive portal hijack),通过中间人攻击(AitM)将受害者浏览器重定向至伪造的插件更新页面,从而投递数字签名的恶意下载器 STATICPLUGIN,最终在内存中部署后门 SOGU.SEC(PlugX变种)。整个攻击链条结合了社会工程、有效代码签名证书、DLL侧加载和内存加载技术,以规避检测。该行动被认为服务于中国国家战略利益,特别是针对外交与政府相关目标的情报收集。
MITRE ATT&CK & Malware Families
Indicators of Compromise (15)