أشارت دراسة جديدة لشركة بالو ألتو نتوركس، المتخصصة في تطوير الجيل التالي من الحلول الأمنية، إلى أن عصابة روكي الصينية التي تنشط في مجال الجريمة الإلكترونية قد تكون مسؤولة عن أكثر من 28% من الهجمات الخبيثة التي تستهدف البيئات السحابية.

وأصدرت بالو ألتو نتوركس نتائجها الأولية بعد إجراء تحقيق كامل حول نشاط مجموعة روكي الصينية لمدة ستة أشهر كاملة.  كما أفضت نتائج البحث إلى أن مجموعة روكي، التي تعتبر من أعتى مجموعات التهديد الإلكتروني التي تنشط في ميدان تشفير العملات الرقمية التي تستهدف البيئات السحابية، قادرة على تنفيذ عمليات الاحتيال من دون تدخل واضح المعالم والانتهاء من هذه العمليات من دون التعرض لخطر اكتشافها.

ومن خلال تحليل البيانات التي تم جمعها باستخدام بروتوكول مراقبة الشبكة في الفترة ما بين ديسمبر 2018 وحتى 16 يونيو 2019، وجدت بالو ألتو نتوركس أن 28.1% من البيئات السحابية التي شملها البحث امتلكت عملية اتصال شبكي واحدة على الأقل مع نطاق الأوامر والتحكم C2 التابع لمجموعة روكي الاحتيالية. وخلصت نتائج البحث أيضاً إلى أن العديد من تلك المؤسسات السحابية كانت على اتصال مع نطاق مجموعة روكي. في الوقت نفسه، حافظت 20% من المؤسسات على اتصال على مدار الساعة بما يتفق مع تكتيكات وتقنيات وإجراءات مجموعة روكي الاحتيالية.

وقد أطلقت مجموعة روكي أيضاً أداء جديدة تحت اسم جودلوا، والتي يمكن أن تعمل كوكيل مستقل عن المجموعة، بما يسمح بتنفيذ أنشطة مجموعة روكي من خلال عمليات برمجية إضافية بما فيها هجمات الحرمان من الخدمة، وتوليد وكلاء الخادم والاستفادة من قدرات إنشاء واجهات للولوج إلى أنظمة التشغيل على مستويين. كما اكتشفت بالو ألتو نتوركس أيضاً أنماط تعريف خاصة بحركة البيانات داخل الشبكة من خلال بروتوكول NetFlow، والتي توفر قدرة فريدة على مراقبة تكتيكات وإجراءات مجموعة روكي وكيف يمكن للمدافعين تطوير قدراتهم الخاصة بالكشف عن التهديدات الإلكترونية.

وقد تم رصد أنشطة مجموعة روكي أول مرة في أغسطس 2018، وارتبطت أنشطتها في البداية بحملات احتيالية لجمع الفدية من خلال استخدام أداتها الخاصة Xbash التي تستهدف نظام التشغيل لينوكس بشكل أساسي، وهي عبارة عن برمجية ضارة تقوم بتدمير البيانات وتشابه في طريقة عملها أداة NotPetya.