Earth Hundun, un gruppo di cyberspionaggio noto per le sue operazioni complesse, continua a essere una minaccia significativa nelle regioni Asia-Pacifico, mirando principalmente ai settori tecnologico e governativo. Utilizzando strumenti avanzati come Waterbear, che esiste in oltre dieci versioni dal 2009, e il suo più recente aggiornamento, Deuterbear, Earth Hundun mostra una capacità notevole di evolvere e adattare le sue tecniche per rimanere nascosto e operativo come da analisi di TrendMicro.
Il malware Waterbear
Waterbear è particolarmente noto per la sua complessità e le sue capacità di evasione, che riducono significativamente la possibilità di rilevamento e analisi. Le versioni successive di questo malware hanno introdotto miglioramenti sostanziali, rendendo le analisi e le mitigazioni ancora più sfidanti. Questo backdoor utilizza una vasta gamma di tecniche anti-debug, anti-sandbox e tecniche che ostacolano gli antivirus, aggiornate frequentemente per includere nuovi metodi di evasione.
Deuterbear: nuova entità Malware
Nel 2022, Earth Hundun ha iniziato a utilizzare una nuova versione di Waterbear, conosciuta come Deuterbear. Questa versione include cambiamenti significativi come routine anti-scansione di memoria e di decrittazione, differenziandola notevolmente dalla Waterbear originale e considerata un’entità malware distinta. Questi aggiornamenti indicano un continuo affinamento delle capacità offensive del gruppo, mirando a rendere il malware ancora più resistente contro le contromisure di sicurezza.
Tattiche, Tecniche e Procedure (TTP)
Le tecniche implementate da Waterbear e Deuterbear dimostrano una conoscenza approfondita delle reti delle vittime. Ad esempio, alcuni downloader di Waterbear utilizzano server di comando e controllo (C&C) con indirizzi IP interni, suggerendo che gli attaccanti potrebbero avere un accesso dettagliato alle reti delle loro vittime. Questo implica l’uso di server multi-strato per evitare il rilevamento, sottolineando la natura sofisticata e strategica di questi attacchi.
L’approfondita conoscenza tecnica e la capacità di adattamento di Earth Hundun la rendono una delle minacce più persistenti e sofisticate nel panorama della cyber security. Con ogni nuova versione di Waterbear e l’introduzione di Deuterbear, il gruppo raffina ulteriormente il suo arsenale, posizionandosi come un serio rischio per la sicurezza delle organizzazioni nei settori tecnologico e governativo in Asia e oltre.
