Un gruppo di cyber-spionaggio allineato con la Cina è stato osservato colpire il settore delle telecomunicazioni in Asia centrale con versioni di malware come ShadowPad e PlugX.
La società di cybersecurity SentinelOne ha legato le intrusioni a un attore che rintraccia sotto il nome di “Moshen Dragon“, con sovrapposizioni tattiche tra il collettivo e un altro gruppo di minacce indicato come Nomad Panda (aka RedFoxtrot).
“PlugX e ShadowPad hanno una storia consolidata di utilizzo tra gli attori di minacce di lingua cinese, principalmente per attività di spionaggio”, ha detto Joey Chen di SentinelOne. “Questi strumenti hanno una funzionalità flessibile e modulare e sono compilati tramite shellcode per aggirare facilmente i tradizionali prodotti di protezione degli endpoint“.
ShadowPad, etichettato come un “capolavoro di malware venduto privatamente nello spionaggio cinese“, è emerso come un successore di PlugX nel 2015, anche se le varianti di quest’ultimo sono continuamente spuntate come parte di diverse campagne associate ad attori di minacce cinesi.
Anche se è noto per essere distribuito dal gruppo di hacker sponsorizzato dal governo, soprannominato Bronze Atlas (aka APT41, Barium, o Winnti) almeno dal 2017, un numero sempre crescente di altri attori di minacce legati alla Cina si sono uniti alla mischia.
All’inizio di quest’anno, Secureworks ha attribuito distinti cluster di attività di ShadowPad a gruppi di stato-nazione cinesi che operano in allineamento con l’agenzia di intelligence civile del Ministero della Sicurezza di Stato cinese (MSS) e l’Esercito Popolare di Liberazione (PLA).
Le ultime scoperte di SentinelOne coincidono con un precedente rapporto di Trellix alla fine di marzo, che ha rivelato una campagna di attacco RedFoxtrot rivolta ai settori delle telecomunicazioni e della difesa in Asia meridionale con una nuova variante del malware PlugX chiamata Talisman.
Le TTP di Moshen Dragon coinvolgono l’abuso di software antivirus legittimi appartenenti a BitDefender, Kaspersky, McAfee, Symantec e Trend Micro per sideload ShadowPad e Talisman sui sistemi compromessi attraverso una tecnica chiamata DLL search order hijacking.
Nella fase successiva, la DLL dirottata viene utilizzata per decifrare e caricare il payload finale di ShadowPad o PlugX che risiede nella stessa cartella dell’eseguibile dell’antivirus. La persistenza si ottiene creando un compito programmato o un servizio.
Nonostante il dirottamento dei prodotti di sicurezza, altre tattiche adottate dal gruppo includono l’uso di strumenti di hacking noti e script di red team per facilitare il furto di credenziali, il movimento laterale e l’esfiltrazione dei dati. Il vettore di accesso iniziale rimane ancora poco chiaro.
“Una volta che gli aggressori hanno stabilito un punto d’appoggio in un’organizzazione, procedono con il movimento laterale sfruttando Impacket all’interno della rete, mettendo una backdoor passiva nell’ambiente della vittima, raccogliendo il maggior numero possibile di credenziali per assicurare un accesso illimitato, e concentrandosi sull’esfiltrazione dei dati“, ha detto Chen.
