یک کمپین جاسوسی فعال که به عامل تهدید موسوم به Molerats نسبت داده شده است، از سرویس‌های ابری قانونی مانند Google Drive و Dropbox برای میزبانی payload‌های بدافزار و همچنین برای command-and-control و خروج داده‌ها از اهدافی در سراسر خاورمیانه سواستفاده می‌کند.

به گفته شرکت امنیت اطلاعات مبتنی بر فضای ابری Zscaler، گمان می‌رود این حمله سایبری حداقل از ژوئیه ۲۰۲۱ در جریان بوده و تلاش‌های قبلی گروه هکر برای انجام شناسایی میزبان‌های هدف و تخلیه اطلاعات حساس ادامه دارد.

گروه Molerats که با نام‌های TA402، تیم هکر‌های Gaza و Extreme Jackal نیز شناخته می‌شود، یک گروه تهدید دائمی پیشرفته (APT) است که عمدتاً بر موجودیت‌های فعال در خاورمیانه متمرکز است. فعالیت‌های حمله مرتبط با این عامل سایبری از مضامین ژئوپلیتیکی و نظامی استفاده می‌کند تا کاربران را ترغیب کند تا پیوست‌های Microsoft Office را باز کنند و روی لینک‌های مخرب کلیک کنند.

این مورد با آخرین کمپینی که توسط Zscaler انجام شده است، تفاوتی ندارد زیرا از تم‌های فریب مربوط به درگیری‌های جاری بین اسرائیل و فلسطین برای ارائه یک .NET Backdoor بر روی سیستم‌های آلوده استفاده می‌کند که به نوبه خود از Dropbox API برای برقراری ارتباط با سرور تحت کنترل توسط مهاجم و انتقال داده‌ها استفاده می‌نماید.

ایمپلنت، که از کد‌های دستوری خاصی برای کنترل دستگاه در معرض خطر استفاده می‌کند، از قابلیت‌هایی برای گرفتن اسکرین‌شات، فهرست کردن و آپلود فایل‌ها در دایرکتوری‌های مربوطه و اجرای دستورات دلخواه پشتیبانی می‌کند. با بررسی زیرساخت حمله، محققان گفتند که حداقل پنج حساب Dropbox را پیدا کرده‌اند که برای این منظور استفاده می‌شود.

ساحیل آنتیل و سودیپ سینگ، محققین Zscaler ThreatLabz، گفتند: "اهداف در این کمپین به طور خاص توسط عامل تهدید انتخاب شده‌اند و شامل اعضای منتقد بخش بانکی در فلسطین، افراد مرتبط با احزاب سیاسی فلسطینی و همچنین فعالان حقوق بشر و روزنامه‌نگاران در ترکیه می‌شوند".