Flax Typhoon, група APT, пов’язана з Китаєм, виконала складну атаку на систему ArcGIS, перетворивши легітимне розширення Java-сервера (SOE) на веб-шелл. Це дозволило групі підтримувати постійний доступ та виконувати команди на скомпрометованій системі, підкреслюючи еволюцію тактик державних акторів для проникнення в критичну інфраструктуру. Атака демонструє ризики, пов’язані з використанням легітимних розширень програмного забезпечення як зброї, що може призвести до витоку даних або подальшого компромісу мережі. Організації, які використовують ArcGIS, рекомендують переглянути та посилити конфігурації SOE для пом’якшення таких загроз.

Атака підкреслює ширші наслідки для кібербезпеки, де державні актори використовують вразливості в спеціалізованому ПЗ для шпигунства. Рекомендації включають регулярні аудити розширень, моніторинг аномальної активності в системах ArcGIS та впровадження багатофакторної аутентифікації. Цей інцидент нагадує про необхідність посиленого захисту критичної інфраструктури від APT-груп.