Heimdal Securitys MXDR-team har bekräftat infektioner hos flera europeiska organisationer, kopplade till en dold skadlig kampanj som fått namnet TamperedChef.
Attacken, som först observerades i juni 2025, spreds via en falsk PDF-redigerare (AppSuite PDF Editor) som marknadsfördes genom annonser och infekterade webbplatser.
Den skadliga programvaran verkade fullt fungerande men låg vilande i 56 dagar innan den aktiverades den 21 augusti för att exfiltrera webbläsaruppgifter, cookies och sessionstokens.
Infektioner upptäcktes hos 0,03 % av Heimdals europeiska kundbas. Även om procentandelen kan verka liten motsvarar det, över hela regionen, en betydande spridning.
”Det är enkelt,” säger Marian Olteanu, säkerhetsanalytiker inom hotunderrättelse på Heimdal.
”En användare behöver ett specifikt verktyg som inte ingår i deras standardsvit, till exempel Adobe Pro som kräver en dyr licens, och söker därför på nätet efter gratisalternativ.”
Tekniska nyckeldetaljer
Obfuskering: Koden är kraftigt obfuskerad och kan vara AI- eller LLM-genererad för att undvika upptäckt av antivirus (Truesec, G DATA)
- Persistens: Ändringar i registret och schemalagda uppgifter
- Kommandon: –install, –fullupdate, –check
- Infrastruktur: Över 40 domäner, signerade av misstänkta malaysiska företag (Truesec)
- C2-servrar: Bekräftad aktivitet på mka3e8.com; Expel rapporterar även kopplingar till 5b7crp.com och y2iax5.com
Kampanjen har kopplingar till tidigare operationer med ManualFinder, OneStart Browser och Epibrowser, vilket tyder på en långvarig och organiserad hotaktör.
Rekommendationer till organisationer
Heimdal råder organisationer att:
- Skanna endpoints efter kända indikatorer på intrång
- Ominstallera drabbade enheter och återställa inloggningsuppgifter (manuell borttagning är inte en säker metod)
- Implementera avancerade beteendebaserade övervakningsverktyg
- Begränsa installation av icke-verifierad programvara
- Utbilda personalen att endast installera program från verifierade leverantörer, då gratis- eller piratkopierade verktyg ofta är en källa till skadlig kod
Citat
Adelina Deaconu, chef för MXDR på Heimdal:
”Manuell borttagning av skadlig kod är inte en säker åtgärd. Ominstallation bör vara obligatoriskt.”
Marian Olteanu, säkerhetsanalytiker inom hotunderrättelse på Heimdal:
”Den gyllene regeln inom cybersäkerhet är att om något är gratis, är det du som är produkten – eller så blir du det snart. TamperedChef visar hur angripare utnyttjar detta beteende.”
Om Heimdal
Heimdal grundades i Köpenhamn 2014 och hjälper CISO:er, säkerhetsteam och IT-administratörer att förbättra sina säkerhetsoperationer, minska larmtrötthet och implementera proaktiva åtgärder via en enhetlig kommandoplattform.
Heimdals prisbelönta cybersäkerhetslösningar täcker hela IT-miljön, från endpoint till nätverksnivå, och omfattar sårbarhetshantering, privilegierad åtkomst, Zero Trust-implementering och ransomware-förebyggande.
