Ein bisher unbekannter Akteur namens SPIKEDWINE zielt auf Beamte in europäischen Ländern mit indischen diplomatischen Missionen ab, indem er eine neue Backdoor namens WINELOADER verwendet. Laut einem Bericht von Zscaler ThreatLabz wurde von dem Angreifer eine PDF-Datei in E-Mails verwendet, die angeblich vom Botschafter Indiens stammt und diplomatisches Personal zu einer Weinverkostung am 2. Februar 2024 einlädt.
Die PDF-Datei wurde am 30. Januar 2024 von Lettland aus auf VirusTotal hochgeladen. Es gibt jedoch Hinweise darauf, dass diese Kampagne mindestens seit dem 6. Juli 2023 aktiv sein könnte, wie die Entdeckung einer anderen ähnlichen PDF-Datei aus dem gleichen Land nahelegt. Die Sicherheitsforscher Sudeep Singh und Roy Tay charakterisieren den Angriff durch seine geringe Menge und die fortgeschrittenen Taktiken, Techniken und Verfahren (TTPs), die in der Malware und der Command-and-Control (C2)-Infrastruktur verwendet werden.
Zentral für den neuartigen Angriff ist die PDF-Datei, die einen bösartigen Link enthält, der sich als Fragebogen tarnt und die Empfänger dazu auffordert, ihn auszufüllen, um teilzunehmen. Das Klicken auf den Link öffnet eine HTML-Applikation („wine.hta“), die einen verschleierten JavaScript-Code enthält, um ein verschlüsseltes ZIP-Archiv mit WINELOADER von der gleichen Domain abzurufen. Die Malware ist mit einem Kernmodul verpackt, das Module vom C2-Server ausführt, sich in eine andere dynamische Link-Bibliothek (DLL) einbettet und das Intervall zwischen Beacon-Anfragen aktualisiert.
Eine bemerkenswerte Aspekte der Cyberangriffe ist die Verwendung von kompromittierten Websites für C2 und das Hosting von Zwischen-Payloads. Es wird vermutet, dass der „C2-Server nur auf bestimmte Arten von Anfragen zu bestimmten Zeiten reagiert“, was die Angriffe schwerer nachweisbar macht.