นักวิจัยจาก Elastic Security Labs บริษัทด้านความปลอดภัยทางไซเบอร์ เผยแพร่รายงานการค้นพบพบมัลแวร์ตัวใหม่ในชื่อ NAPLISTENER ที่ถูกเขียนขึ้นด้วยภาษา C# มีความสามารถในการดักจับข้อมูลผ่าน HTTP รวมถึงสามารถหลีกเลี่ยงการตรวจจับจากอุปกรณ์รักษาความปลอดภัยบนเครือข่าย ซึ่งถูกใช้โดยกลุ่ม REF2924 ในการโจมตี โดยมุ่งเป้าไปที่หน่วยงานในเอเชียใต้ และเอเชียตะวันออกเฉียงใต้
REF2924 เป็นกลุ่ม Hacker ที่มีความเชื่อมโยงกับเหตุการณ์การโจมตีหน่วยงานในอัฟกานิสถาน และสำนักงานกิจการต่างประเทศของสมาชิกอาเซียนในปี 2565 ซึ่งวิธีในการโจมตีของ REF2924 มีความคล้ายคลึงกับ ChamelGang ที่ถูกค้นพบโดย Positive Technologies บริษัทด้านความปลอดภัยทางไซเบอร์ของรัสเซีย ในเดือนตุลาคม 2021

การโจมตีของกลุ่ม REF2924
การโจมตีจะเริ่มขึ้นจากการโจมตีช่องโหว่ของ Microsoft Exchange servers เพื่อติดตั้ง backdoor malware ได้แก่ DOORME, SIESTAGRAPH และ ShadowPad
DOORME เป็นแบ็คดอร์ของ Internet Information Services ( IIS ) ที่สามารถเรียกใช้คำสั่งจากระยะไกล และดาวน์โหลดเครื่องมือ และมัลแวร์เพิ่มเติม
SIESTAGRAPH เป็นแบ็คดอร์ที่ใช้ Graph API ของ Microsoft สำหรับเรียกใช้คำสั่งควบคุมผ่าน Outlook และ OneDrive, การเรียกใช้คำสั่งที่กำหนดเองผ่าน Command Prompt รวมถึงอัปโหลด และดาวน์โหลดไฟล์ไปยัง OneDrive และบันทึกภาพหน้าจอ
ShadowPad เป็นแบ็คดอร์ที่เป็นรุ่นพัฒนาต่อจาก PlugX ทำให้ Hacker สามารถแฝงตัวอยู่ในเครื่องเป้าหมายอย่างต่อเนื่อง และเรียกใช้คำสั่ง shell command รวมถึงเพย์โหลดอันตรายในเครื่องเป้าหมาย โดย ShadowPad มีความเกี่ยวข้องกับกลุ่ม Hacker สัญชาติจีน

การโจมตีของ NAPLISTENER
NAPLISTENER ("wmdtc.