رصدت شركة بالو ألتو نتوركس، المتخصصة في تطوير الجيل التالي من الحلول الأمنية، خلال الفترة بين مايو ويونيو 2019، أدوات هجومية غير معروفة سابقاً جرى استخدامها في شن هجمات إلكترونية استهدفت شركات شحن ونقل في الكويت.
واستهدف أول هجوم معروف في سياق هذه الحملة إحدى شركات الشحن والنقل الكويتية، وتخلله قيام الجهات المعادية بتثبيت أداة للتسلل الخلفي تُدعى “هيسوكا” Hisoka.
وتلا ذلك تنزيل عدة أدوات مخصصة على النظام بهدف تنفيذ أنشطة لاحقة لعملية الاختراق.
ويظهر أن جميع الأدوات الهجومية قد تمت برمجتها من قبل المطور ذاته.
وتمكنت بالو ألتو نتوركس من جمع العديد من الإصدارات المشابهة لتلك الأدوات بما فيها أداة تعود إلى يوليو 2018.
وقد قام مطور هذه الأدوات المرصودة باستخدام أسماء شخصيات كرتونية من سلسلة الأنيمي “هانتر إكس هانتر”، والتي استند إليها في تسمية الحملة “إكس هانت” “xHunt”.
وتشمل أسماء الأدوات المستخدمة تسللا خلفيا تدعى “ساكابوتا” و”هيسوكا” و”نتيرو” و”كيلوا”، ولا تعتمد هذه الأدوات على بروتوكول نقل النص الفائق HTTP لفتح قنوات التواصل مع الخوادم الهجومية، بل تستخدم كذلك رسائل البريد الإلكتروني وخوادم أسماء النطاق DNS لأجل فتح قنوات التواصل مع الخوادم المؤازرة للهجوم.
وإضافة إلى أدوات التسلل الخلفي المذكورة، تمكنت بالو ألتو نتوركس من رصد أدوات أخرى يشار إليها بأسماء “جون”Gon و”آي” EYE، والتي تمهد للجماعة التسلل والدخول واكتساب القدرة على تنفيذ أنشطة لاحقة للاختراق.