Tajwańska firma konsultingowa Team T5 zakwestionowała domniemany harmonogram Microsoftu dotyczący tego, kiedy powiązana z Pekinem grupa atakująca o nazwie Flax Typhoon rozpoczęła swoje działania.
Microsoft zapewnił w zeszłym tygodniu, iż Flax Typhoon uzyskuje i utrzymuje długoterminowy dostęp do tajwańskich celów bez silnego polegania na złośliwym oprogramowaniu. Zamiast tego grupa korzysta z narzędzi wbudowanych w system operacyjny w połączeniu z “normalnie nieszkodliwym oprogramowaniem”, które pomagają w infiltracji pozostając niewykrytymi.
“Flax Typhoon uzyskuje początkowy dostęp, wykorzystując znane luki w zabezpieczeniach serwerów publicznych” – powiedział Microsoft. “Usługi będące celem ataku różnią się, ale obejmują aplikacje VPN, internetowe, Java i SQL. Ładunkiem w tych exploitach jest powłoka internetowa, taka jak China Chopper, która pozwala na zdalne wykonanie kodu na zaatakowanym serwerze”.
Microsoft twierdzi, iż zachowanie sprawcy sugeruje szpiegostwo i próby utrzymania dostępu. Aktywność gangu cyberprzestępczego datuje się również na połowę 2021 roku.
Jednak tajwańska grupa analityków zagrożeń Team T5 powiedziała, iż śledziła aktywność grupy od co najmniej 2020 roku i nadała jej tymczasową nazwę kodową SLIME13. Główny analityk Team T5, Charles Li, powiedział, iż grupa powiadomiła i pomogła kilku ofiarom – głównie tajwańskim uniwersytetom i firmom elektronicznym – w ciągu ostatnich dwóch lat.