SideWinder脅威アクターはその戦略的方法論を顕著に転換し、従来のインフラストラクチャを放棄して秘密裏のアプローチを選択しました。専用サーバーをリースする代わりに、このグループは正規のクラウドプラットフォームを活用して無害なサービスに偽装する大規模な作戦を展開しました。この転換により、南アジア全域の軍事および政府機関への秘密裏の侵入が容易になると同時に、最小限のフォレンジックフットプリントを確保しました。
Breakglass Intelligenceの分析によると、最近のキャンペーンは20の異なるノードと8つのPlatform-as-a-Service(PaaS)プロバイダー(Zeabur、Leapcell、Railway、Cloudflare Workers、Replit、Back4Appを含む)にまたがり、short.gyやtinyurl.cxなどのリンク短縮サービスによって補完されました。無料層のサブスクリプションを利用し、カスタムドメインを避けることで、攻撃者たちは驚くべき敏捷性を実現しました。単一のノードが無力化された場合、代替品が即座に展開され、防御的な対策を複雑化させました。
この作戦の特徴は、二層構造の認証情報ハーベスト作戦です。攻撃は防衛調達契約に関する詐欺的なPDFベイトで始まりました。被害者は遅延リダイレクトの対象となり、最終的にはバングラデシュ海軍を模倣するように作られた不正なZimbraウェブメールポータルに到達しました。最初のパスワード入力の後、シミュレートされたエラーがユーザーを二次的なインターフェース(今度はパキスタン空軍を装った)にリダイレクトしました。結果として、単一の認証情報が2回送信され、異なるデータ収集フォームによってキャプチャされました。
このシナリオは、複数の軍事階級と相互作用する要員を搾取するように特別に設計されました。ターゲット層にはパキスタンとバングラデシュの防衛請負業者、通信会社、および国家機関が含まれていました。確認された被害者にはMargalla Heavy Industriesのプロジェクト・コーディネーターが含まれています。同社は軍事製造に深く統合されている企業です。
フィッシングURL内の反復する35文字のパラメータは特別な精査の対象となりました。この文字列は5ヶ月間変わらないままで、グループの活動を識別するための信頼できるヒューリスティックとして機能しました。これらの知見の普及にもかかわらず、インフラストラクチャの一部は残存しています。Zeabur上でホストされている少なくとも2つのフィッシングサイトが引き続き稼働し、違法なデータ収集を続けています。
分析家たちは、SideWinderが「Living off the Land」(LotL)モデルに効果的に移行したと考えており、独自のインフラストラクチャの代わりに評判の良いクラウドエコシステムを利用しています。この進化は、キャンペーンの運用コストを減らすだけでなく、完全な破壊には無数のサービスプロバイダー全体での調整された介入が必要とされるため、軽減のハードルを大幅に引き上げます。
