La società di sicurezza informatica Secureworks ha dichiarato di aver identificato le intrusioni nel giugno e nel luglio 2022, dimostrando ancora una volta la continua attenzione dell’avversario allo spionaggio contro i governi di tutto il mondo.
“PlugX è un malware modulare che contatta un server di comando e controllo (C2) per l’assegnazione dei compiti e può scaricare plugin aggiuntivi per migliorare le sue capacità oltre la raccolta di informazioni di base”, ha dichiarato Secureworks Counter Threat Unit (CTU) in un rapporto condiviso con The Hacker News.
Bronze President è un attore di minacce con sede in Cina, attivo almeno da luglio 2018, e si stima che sia un gruppo sponsorizzato dallo Stato che sfrutta un mix di strumenti proprietari e pubblicamente disponibili per compromettere e raccogliere dati dai suoi obiettivi.
È documentato pubblicamente anche con altri nomi come HoneyMyte, Mustang Panda, Red Lich e Temp.Hex. Uno dei suoi strumenti principali è PlugX, un trojan per l’accesso remoto che è stato ampiamente condiviso dai gruppi di avversari cinesi.
All’inizio di quest’anno, il gruppo è stato osservato mentre prendeva di mira funzionari governativi russi con una versione aggiornata della backdoor PlugX chiamata Hodur, insieme a entità situate in Asia, Unione Europea e Stati Uniti.
Secondo Secureworks, l’attribuzione dell’ultima campagna al presidente di bronzo deriva dall’uso di PlugX e di documenti di richiamo a tema politico che si allineano a regioni di importanza strategica per la Cina.
Le catene di attacco distribuiscono file di archivio RAR che contengono un file di collegamento di Windows (.LNK) mascherato da documento PDF, la cui apertura esegue un file legittimo presente in una cartella nascosta annidata nell’archivio.
Questo apre la strada al rilascio di un documento esca, mentre il payload PlugX imposta la persistenza sull’host infetto.
“Il presidente Bronze ha dimostrato la capacità di orientarsi rapidamente verso nuove opportunità di raccolta di informazioni”, hanno dichiarato i ricercatori. “Le organizzazioni nelle regioni geografiche di interesse per la Cina dovrebbero monitorare attentamente le attività di questo gruppo, soprattutto quelle associate o che operano come agenzie governative”.
