← Back to Pulse Feed
PULSE DETAIL
PULSE NAME
IOC&TTP - Deception in Depth PRC-Nexus Espionage Campaign Hijacks Web Traffic to Target Diplomats
WHITE UNC6384 celestre 2025-08-27 Modified: 2025-09-25
15
IOCs
MEDIUM VOLUME
2025年3月,Google Threat Intelligence Group(GTIG)发现一个复杂的网络间谍活动,由中国(PRC)关联的威胁组织 UNC6384 发起。该行动主要针对东南亚的外交人员,同时波及其他全球实体。攻击者利用 强制门户劫持(captive portal hijack),通过中间人攻击(AitM)将受害者浏览器重定向至伪造的插件更新页面,从而投递数字签名的恶意下载器 STATICPLUGIN,最终在内存中部署后门 SOGU.SEC(PlugX变种)。整个攻击链条结合了社会工程、有效代码签名证书、DLL侧加载和内存加载技术,以规避检测。该行动被认为服务于中国国家战略利益,特别是针对外交与政府相关目标的情报收集。
prc-nexussocial engineeringin-memory executionespionagecanonstagersogu.secdigital signaturesstaticplugincaptive portal
MITRE ATT&CK & Malware Families
ATT&CK TECHNIQUES
MALWARE FAMILIES
STATICPLUGIN CANONSTAGER SOGU.SEC
Indicators of Compromise (5 / 15 total)
All FileHash-MD5 FileHash-SHA1 FileHash-SHA256 domain
TYPEINDICATORDESCRIPTIONCREATED
FileHash-SHA1 baa569318144905563b469a5a006ad54eb616a02 2025-08-27
FileHash-SHA1 c8744b10180ed59bf96cf79d7559249e9dcf0f90 2025-08-27
FileHash-SHA1 eca96bd74fb6b22848751e254b6dc9b8e2721f96 2025-08-27
FileHash-SHA1 95a89dff5e42614e30ba6aab6623133043f6f122 2025-08-27
FileHash-SHA1 9e82021ffd943c51b1a164832ea5a6d28b16dec7 2025-08-27
References (1)
↗ https://cloud.google.com/blog/topics/threat-intelligence/prc-nexus-espionage-targets-diplomats