TA402使用复杂的IronWind感染链来攻击中东政府

据外媒11月14日报道，Proofpoint研究人员首次确定了TA402活动，该活动使用迷宫般的感染链来针对中东政府，Proofpoint将其称为IronWind的新初始访问下载器。从2023年7月到10月，TA402利用了该感染链的三种变体——Dropbox链接、XLL文件附件和RAR文件附件——每种变体都一致导致下载包含多功能恶意软件的DLL。在这些活动中，TA402还放弃了使用Dropbox API等云服务（Proofpoint研究人员在2021年和2022年的活动中观察到的云服务），转而使用参与者控制的基础设施进行C2通信。