← Back to Pulse Feed
PULSE DETAIL
PULSE NAME
IOC&TTP - Deception in Depth PRC-Nexus Espionage Campaign Hijacks Web Traffic to Target Diplomats
WHITE UNC6384 celestre 2025-08-27 Modified: 2025-09-25
15
IOCs
MEDIUM VOLUME
2025年3月,Google Threat Intelligence Group(GTIG)发现一个复杂的网络间谍活动,由中国(PRC)关联的威胁组织 UNC6384 发起。该行动主要针对东南亚的外交人员,同时波及其他全球实体。攻击者利用 强制门户劫持(captive portal hijack),通过中间人攻击(AitM)将受害者浏览器重定向至伪造的插件更新页面,从而投递数字签名的恶意下载器 STATICPLUGIN,最终在内存中部署后门 SOGU.SEC(PlugX变种)。整个攻击链条结合了社会工程、有效代码签名证书、DLL侧加载和内存加载技术,以规避检测。该行动被认为服务于中国国家战略利益,特别是针对外交与政府相关目标的情报收集。
prc-nexussocial engineeringin-memory executionespionagecanonstagersogu.secdigital signaturesstaticplugincaptive portal
MITRE ATT&CK & Malware Families
ATT&CK TECHNIQUES
MALWARE FAMILIES
STATICPLUGIN CANONSTAGER SOGU.SEC
Indicators of Compromise (3 / 15 total)
All FileHash-MD5 FileHash-SHA1 FileHash-SHA256 domain
TYPEINDICATORDESCRIPTIONCREATED
FileHash-MD5 0538e73fc195c3b4441721d4c60d0b96 2025-08-27
FileHash-MD5 52f42a40d24e1d62d1ed29b28778fc45 2025-08-27
FileHash-MD5 fa71d60e43da381ad656192a41e38724 2025-08-27
References (1)
↗ https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats