O campanie de spionaj cibernetic a vizat timp de cinci luni contul de email al unui director executiv de rang înalt din cadrul unei mari burse internaționale.
Cercetătorii spun că atacatorii au urmărit în mod constant un singur cont, fără a încerca să se extindă vizibil în restul rețelei, ceea ce sugerează un interes clar pentru informații confidențiale legate de negocieri, decizii interne și evenimente cu potențial impact asupra pieței.
Potrivit unui raport al companiei de securitate cibernetică Symantec, accesul prelungit la mailbox-ul unei astfel de persoane poate oferi o imagine aproape completă asupra activității profesionale a țintei, inclusiv calendarul, deplasările, contactele și discuțiile externe.
În cazul unei burse sau al unui organism de reglementare, acest tip de informație poate include date nepublicate despre listări, investigații sau alte decizii care pot influența piețele financiare.
Atacatorii au încercat să-și ascundă activitatea folosind servicii obișnuite, precum Dropbox și OneDrive, pentru a scoate datele din sistem. În loc să folosească infrastructuri obscure, ușor de blocat, aceștia s-au amestecat în traficul legitim și au transferat informațiile în loturi mici, pe o perioadă lungă, pentru a evita suspiciunile.
Analiza indică faptul că atacul era deja în curs atunci când a fost observat pentru prima dată, în octombrie 2025. În lunile următoare, atacatorii au extras în mod repetat copii ale conținutului din clientul Outlook, împărțite pe intervale de timp, astfel încât să poată reconstrui aproape continuu activitatea din email a victimei până în februarie 2026.
Symantec afirmă că nu poate atribui cu certitudine campania unui grup cunoscut, deoarece atacatorii au folosit instrumente publice și infrastructură cloud legitimă, lăsând puține indicii distinctive. Totuși, comportamentul observat, disciplina operațională și alegerea țintei indică mai degrabă un scop de spionaj decât unul financiar imediat.
În anumite situații, un singur cont de email poate deveni o țintă strategică. Pentru un actor interesat de informații economice sensibile, accesul la corespondența unui angajat într-o poziție superioară poate oferi suficiente date pentru a înțelege direcția unei organizații, fără a fi nevoie de o compromitere mai amplă a infrastructurii.
În materialele publicate nu sunt menționate numele bursei sau identitatea persoanei vizate.
