جزئیات کمپین حملات سایبری جدیدی علیه شرکت‌های هوافضا و مخابراتی خاورمیانه منتشر شده و هدف آن سرقت اطلاعات حساسی در مورد داریی های حیاتی، زیر‌ساختهای سازمانی و تکنولوژی ها اعلام شده است. تمامی این حملات از ذره بین آنتی ویروس ها به دور مانده و در خفا به فعالیت‌های خود ادامه می‌دادند.

به گفته محققان در این کمپین از تروجان نامحسوس با قابلیت ایجاد دسترسی از راه دور به نام ShellClient استفاده شده است. این کمپین برای اولین بار در جولای ۲۰۲۱ مشاهده شده و با توجه به اینکه تعداد قربانیان آن بسیار کم است، نشان می‌دهد که اهداف با دقت زیادی انتخاب شده‌اند.

تروجان ShellClient از سال ۲۰۱۸ تاکنون در حال توسعه و بروزرسانی بوده و نسخه‌های متعددی از آن منتشر شده که هر کدام قابلیت‌های جدیدی داشتند. قابلیت اصلی این تروجان، مخفی ماندن از دید آنتی ویروس‌ها بوده و همچنین با توجه به اینکه هنوز جزئیات دقیقی از آن منتشر نشده است، برای عموم مردم ناشناس است.

تحقیقات نشان داد که این تروجان قبلا در نوامبر ۲۰۱۸ برای ایجاد بک دور مورد استفاده قرار گرفته بود. این تغییرات و قابلیت‌های جدید نشان می‌دهد که بدافزار فوق همچنان در حال بروزرسانی و توسعه است. علاوه بر این، هکرها در حملات فوق از یک فایل قابل اجرای ناشناس با نام Isa.exe نیز استفاده کرده‌اند.

بررسی بیشتر این حمله سایبری، منجر به شناسایی گروه جدیدی از هکرهای ایرانی به نام مالکماک (MalKamak) شد. این گروه فعالیت خود را از سال ۲۰۱۸ آغاز کرده و توانسته بود تا امروز ناشناس بماند. به احتمال زیاد این گروه با دیگر هکرهای وابسته به دولت ایران مثل APT39 همکاری داشته است.

Shellclient علاوه بر توانایی در سرقت و جمع‌آوری اطلاعات مهم، طوری طراحی شده که توانایی اجرای ماژولهای قابل حمل را داشته که در نهایت می‌تواند عملیات‌های اثر انگشت و دستکاری رجیستری نیز انجام دهد. شایان ذکر است این تروجان می‌تواند از فضاهای ذخیره سازی ابری مثل دراپ باکس، بهره‌جویی کرده و از آنها به عنوان سرور کنترل و فرماندهی خود استفاده کند. با این کار فعالیت‌های تروجان در قالب اپلیکیشن‌های قانونی صورت گرفته و هرگونه ارسال و دریافت داده‌ای از زیر رادار آنتی ویروس‌ها به آسانی عبور می‌کند.

در پیاده سازی این کمپین از تاکتیکی که قبلا توسط گروه ایندیگو زبرا مورد استفاده قرار گرفته شده بود، کپی برداری شده است. ایندیگو زبرا برای ذخیره سازی دستورات قابل اجرای خود از زیر پوشه‌های دراپ باکس در سیستم قربانی استفاده می‌کرد.