O operațiune de spionaj cibernetic în desfășurare, denumită PassiveNeuron, vizează sistemele Windows Server din instituții guvernamentale, financiare și industriale din regiuni precum Asia, Africa și America Latină, conform unei echipe de specialiști în securitate cibernetică.

Activitatea a fost monitorizată din luna decembrie 2024 și până în august 2025.

După o pauză de șase luni, PassiveNeuron și-a reluat activitatea prin utilizarea a trei instrumente esențiale – două dintre ele fiind anterior necunoscute – pentru a obține și păstra accesul în rețelele țintă.

Aceste instrumente sunt:

• Neursite, un backdoor modular;
• NeuralExecutor, un implant bazat pe platforma .NET;
• Cobalt Strike, un cadru de testare a penetrării frecvent utilizat de actorii rău intenționați.

PassiveNeuron – mecanism de operare

Backdoor-ul Neursite are capacitatea de a colecta informații despre sistem, de a gestiona procesele în curs de execuție și de a direcționa traficul de internet prin gazde compromise, facilitând deplasarea laterală în cadrul rețelei. Au fost identificate mostre care comunică atât cu servere externe de comandă și control, cât și cu sisteme interne compromise.

NeuralExecutor este destinat livrării de suplimente de cod malițios. Implantul suportă diverse metode de comunicare și poate încărca și executa module .NET atestate de serverul de comandă și control.

În mostrele analizate de specialiști în securitate cibernetică, denumirile funcțiilor au fost înlocuite cu secvențe ce conțin caractere chirilice, aparent introduse intenționat de către atacatori. Astfel de artefacte necesită o verificare amănunțită, deoarece pot constitui „false flags” menite să inducă în eroare experții în securitate.

Având în vedere tacticile, tehnicile și procedurile observate, specialiștii evaluează cu o încredere redusă că această campanie poate fi atribuită unui actor de limbă chineză. La începutul anului 2024, s-au identificat deja activități ale operațiunii PassiveNeuron, fiind descrise ca fiind de un nivel înalt de sofisticare.