Гүүглийн Халдлагын Тагнуулын Групп (GTIG) Хятадын хакеруудын бүлэг Google Calendar-ийг ашиглан хувийн мэдээллийг хулгайлахаар оролдож байсан гэдгийг илрүүлжээ. Энэхүү хакерийн бүлэг нь APT41 буюу HOODOO нэртэй бөгөөд Хятадын засгийн газартай холбогдож болзошгүй байна.

GTIG-ийн мэдээлснээр, энэ хакерийн ажиллагаа нь сурталчилан гаргах шуудангийн кампани-аас эхэлсэн байна. Энэ арга нь тодорхой хүмүүсийг онилон, тусгайлан бэлтгэсэн цахим шуудан илгээх бөгөөд цахим шуудан нь засгийн газрын эвдэрсэн вэбсайтад байршуулсан ZIP файл руу хөтөлдөг холбоосыг агуулж байсан байна. Хохирогч ZIP файлыг нээхэд, PDF мэтээр харагддаг дөтлүүр файл болон олон төрлийн шавьж, аалзны зурагтай хавтас харагдана.

Гэсэн хэдий ч эдгээр зурагнуудын хоёр нь хуурамч бөгөөд хортой програмыг агуулж байсан байна. Хохирогч дөтлүүрийг дармагцаа, энэ нь хортой програмыг ажиллуулж, өөрөө анхаарал татахааргүйгээр PDF файл-аар солигддог байжээ. Энэхүү хортой програм нь гурван үе шаттайгаар ажилладаг байсан аж.

Эхний алхам нь компьютерийн санах ойд PLUSDROP нэртэй файл бий болгож, ажиллуулдаг байв. Дараагийн алхамд, хортой кодыг Windows-ийн танил болсон үйл явцаар нууцаар ажиллуулж байсан юм. Эцэст нь, TOUGHPROGRESS нэртэй програм командыг гүйцэтгэж, мэдээллийг хулгайлдаг байжээ.

Энэхүү халдлагын онцгой нэгэн тал нь Google Calendar-ийг харилцааны хэрэгсэл болгон ашигласан явдал байв. Хортой програм тодорхой өдрүүдэд тэг минутын хугацаатай богино эвентүүд үүсгэж, эдгээр эвентүүдийн тайлбар хэсэгт шифрлэгдсэн мэдээлэл эсвэл заавар бичигдсэн байсан юм. Хортой програм эдгээр календарийн эвентүүдийг шинэ командын төлөө байнга шалгаж байв. Гүйцэтгэх ёстой ажил дуусмагцаа, хулгайлагдсан мэдээлэл бүхий дахин нэг эвент үүсгэдэг байв.

Google энэхүү кампанит ажлыг 2024 оны 10 сард илрүүлсэн бөгөөд засгийн газрын эвдэрсэн вэбсайтаас хортой програм тархаж байгааг олж мэджээ. Технологийн компани хакеруудын ашиглаж байсан календарийн бүртгэлүүдийг хааж, тэдний онлайн дэд бүтцийг устгахаар ажиллаж байна.