Google araştırmacıları sonunda Triplestrength adında yeni bir tehdit aktörü keşfetti. Triplestrength, fidye yazılımı, bulut ihlali ve kripto madenciliği konularında faaliyet gösteriyor. Grup, 2020 yılından beri etkin olsa da 2023 yılından beri Google’ın araştırmacıları tarafından takip ediliyor. Triplestrength’in dikkat çekici yanı ise fidye yazılımının yanı sıra, kurbanların bulut hesaplarını ele geçirip bunları kripto madencilerini dağıtmak için kullanması. Ayrıca, grup, fidye yazılımına 2020 yılında başladı ve iki yıl sonra kripto madenciliği bölümünü ekledi.

Google’a göre, grup genellikle on-prem (yerinde) sistemlere odaklanıyor. Kripto madenciliği için ise Google Cloud, AWS, Microsoft Azure, Linode ve diğerlerinin bulut altyapıları hedef alınıyor. Triplestrength, devlet destekli görünmüyor ve genellikle sadece kar amacı güdüyor – hem fidye ödemelerinden hem de izinsiz bulut bilgi işleminden para kazanmayı hedefliyor. İlk erişim genellikle uzaktan masaüstü sunucularına brute force saldırılarıyla veya çalınmış kimlik bilgileriyle yapılıyor. Hedeflenen son noktalar komprome edildiğinde, Triplestrength Phobos, LokiLocker, RCRU64 veya Raccoon infostealer gibi kötü amaçlı yazılımlar dağıtıyor. Kripto madenciliği için genellikle unMiner kullanılıyor. Triplestrength’in son dört yılda kaç kurbanı vurduğu hakkında kesin bir sayı verilmese de, “Triplestrength ile ilişkilendirildiğine inandığımız sayısız TRX kripto para adresi belirledik” dediler. Bu da, yüzlerce etkilenmiş bulut örneği ve dolayısıyla yüzlerce fidye kurbanı olabileceği anlamına geliyor.