قام عدد من الباحثين في “إسيت” بالتحقيق في حملة تجسس مستهدفة للهواتف المحمولة ضد المجموعة العرقية الكردية، حيث كانت هذه الحملة نشطة منذ مارس 2020 الماضي ، وقامت بنشر عبر حسابات شخصية على Facebook) ) بابين خلفيين من نظام التشغيل Android يُعرفان باسم 888 RAT و SpyNote ، تم إخفائهم في شكل تطبيقات مشروعة. وعملت تلك الحسابات الشخصية على تقديم أخبار لأنظمة التشغيل Android باللغة الكردية، وأخبارًا لمؤيدي الأكراد، كما حددت “إسيت” ستة حسابات على Facebook توزع تطبيقات تجسس Android كجزء من هذه الحملة، والتي أجرتها مجموعة BladeHawk. تلك الحسابات الشخصية شاركت تطبيقات التجسس على مجموعات عامة على الفيسبوك، وكان معظمهم من أنصار مسعود بارزاني ، الرئيس السابق لإقليم كوردستان ، وهي منطقة تتمتع بالحكم الذاتي في شمال العراق، حيث ضمت مجموعات الفيسبوك المستهدفة أكثر من 11 ألف متابع.
من جانبه قال “لوكاش شتيفانكو” الباحث في “إسيت” والذي كان من ضمن المحققين في حملة ” ”BladeHawk: “لقد أبلغنا فيسبوك بتلك الحسابات الشخصية وعملنا على حذفها جميعًا، ولكن اثنين من تلك الحسابات كانا يستهدفان مستخدمي التكنولوجيا في حين أن الأربعة الآخرين قدموا أنفسهم على أنهم من المؤيدين الأكراد”.
حددت “إسيت” 28 منشور على الفيسبوك كجزء من حملة “BladeHawk”، حيث أحتوت هذه المنشورات على أوصاف وروابط وهمية للتطبيقات والذي تمكن باحثو ” إسيت” من تحميل 17 ملف APK من خلالها. وكانت بعض من روابط الويب الخاصة بـ APK توجه مباشرة إلى التطبيق الضار، بينما الروابط الأخرى توجه إلى خادم تحميل top4top.io، والتي تم تعقب عدد مرات تنزيل تلك الملفات حيث تم تنزيل تلك تطبيقات التجسس حوالي 1418 مرة.
وعندما قام الباحثون بتتبع تلك المنشورات الخبيثة وجدوا أنها تؤدي معظمها إلى تنزيلات 888 RAT التجارية متعددة المنصات، والتي كانت متاحة في السوق السوداء منذ عام 2018. نظام تشغيل Android 888 RAT له القدرة على تنفيذ 42 أمرًا مستلمًا من خادم القيادة والتحكم (C&C) الخاص به. والذي يمكنه سرقة وحذف الملفات من الجهاز، والتقاط لقطات شاشة، والحصول على موقع الجهاز ، وبيانات اعتماد الفيسبوك الاحتيالية، والحصول على قائمة بالتطبيقات المثبتة ، وسرقة صور المستخدم ، والتقاط الصور ، وتسجيل الصوت المحيط والمكالمات الهاتفية ، وإجراء المكالمات ، وسرقة الرسائل القصيرة ، والسرقة قائمة جهات اتصال الجهاز ، وإرسال رسائل نصية.
ويرتبط نشاط التجسس الذي اكتشفته “إسيت” ارتباطًا مباشرُا بحالتين تم الكشف عنهما في عام 2020. حيث أطلق مركز استخبارات التهديد “QiAnXin ” اسم “BladeHawk “على المجموعة التي تقف وراء تلك الهجمات، والتي اكتشفتها “إيست”. كما تم توزيع كلتا الحملتين عبر الفيسبوك، باستخدام برامج ضارة تم إنشاؤها باستخدام أدوات تجارية آلية (888 RAT و SpyNote)، حيث قامت “إسيت” بجمع عينات من البرامج الضارة باستخدام نفس خوادم القيادة والتحكم. منذ عام 2018 ، تم إكتشاف المئات من مثيلات أجهزة Android حيث تم نشر 888 RAT.