Çin'e bağlı bir tehdit aktörü izleniyor Earth Lamia, 2023'ten beri bir siber saldırı dalgasıyla ilişkilendirildi ve Brezilya, Hindistan ve Güneydoğu Asya'daki kuruluşlara sızmak için kritik bir SAP NetWeaver güvenlik açığından (CVE-2025-31324) yararlandı. Trend Micro, saldırganların öncelikle SQL sunucularına erişmek ve halka açık sistemlerdeki birden fazla bilinen güvenlik açığından yararlanmak için web uygulamalarındaki SQL enjeksiyon kusurlarından yararlandığını bildiriyor.
Hedef alınan ülkeler arasında Endonezya, Malezya, Filipinler, Tayland ve Vietnam yer alıyor. Saldırılardan etkilenen sektörler ise lojistik, çevrim içi perakende, kamu, akademi ve bilişim teknolojilerini kapsıyor. Grup, zamanla finans sektöründen daha geniş endüstrilere yönelerek hedefleme stratejisinde dinamik bir geçiş sergiliyor.
Saldırganlar, Cobalt Strike, Supershell ve Rakshasa ve Stowaway üzerinden proxy tünelleme gibi bir dizi istismar sonrası araç ve teknik kullanır. GodPotato ve JuicyPotato gibi ayrıcalık yükseltme araçları ve Fscan ve Kscan gibi tarayıcılar da dağıtılır. Meşru yardımcı programlar wevtutil.exe
olay kayıtlarından adli izleri silmek için kötüye kullanılır.
Earth Lamia, bazı vakalarda Mimic fidye yazılımını sisteme yerleştirmiş olsa da, bu yazılım çoğunlukla başarıyla çalıştırılamamış. Birçok durumda fidye yazılımı dosyaları dağıtıldıktan sonra silinmiş, bu da operasyonel test ya da tespit önleme taktiği olabileceğini düşündürüyor.
Grup, özel olarak geliştirdiği arka kapı (backdoor) ile tanınmaktadır. PULSEPACKBu arka kapı, DLL yan yükleme yöntemiyle dağıtılmaktadır — bu yaklaşım Çin'e bağlı APT (gelişmiş sürekli tehdit) operasyonlarında sıkça görülür. Trend Micro, Mart 2025'te bu arka kapının iletişim yönteminin TCP'den WebSocket'e geçirildiği güncellenmiş bir sürümünü gözlemledi; bu da kötü amaçlı yazılımın aktif olarak geliştirildiğini göstermektedir. Bu kampanya, Earth Lamia’nın çeşitli sektörler ve coğrafyalarda siber casusluk faaliyetlerine yönelik sürekli ve gelişen odağını yansıtmaktadır.