Onderzoekers van Trend Micro hebben een nieuwe cyberspionagecampagne ontdekt, gericht tegen een Duits telecombedrijf, Taiwanese elektronicafabrikanten en Oost-Aziatische overheden. IXESHE, uitgesproken als ishushi, is een advanced persistant threat (APT) die zich via PDF-bestanden en Excel-bestanden verspreidt. De aanval begint met een op maakt gemaakte e-mail voorzien van een bijlage. Deze bijlage misbruikt een beveiligingslek in Adobe Reader, Acrobat, Adobe Flash Player of Microsoft Excel.

Eenmaal actief op de computer wordt er verbinding met een Command & Control (C&C) server gemaakt. Onderzoek van Trend Micro wijst verder uit dat de aanvallers dynamische Domain Name System (DNS) servers en wijdverbreide externe C&C-servers gebruikten om het uitschakelen van de servers te bemoeilijken.

Identiteit
Daarbij gebruikten de aanvallers ook gecompromitteerde machines binnen het netwerk van de aangevallen organisaties als C&C-server, om zo hun activiteiten te verbergen. Ook werd de HTran proxy-tool ingezet om de werkelijke locatie van de aanvallers te verbergen. Wie er achter de aanval zit kunnen de onderzoekers dan ook niet zeggen.

Wel is duidelijk dat het om een goed opgezette en succesvolle campagne gaat. De eerste e-mails met de IXESHE-malware werden op 15 oktober 2009 ontdekt, de laatste dateert van 22 november vorig jaar.