Il gruppo di minaccia legato alla Cina, noto come Budworm, ha lanciato una nuova ondata di attacchi contro entità governative e di telecomunicazioni utilizzando un insieme di strumenti malware aggiornato. Gli attacchi, che hanno preso di mira un’organizzazione di telecomunicazioni del Medio Oriente e un governo asiatico, sono avvenuti nell’agosto 2023. Il gruppo ha impiegato una versione migliorata del suo toolkit SysUpdate, come riportato dal Symantec Threat Hunter Team.
Budworm, noto anche con i nomi APT27, Bronze Union, Emissary Panda, Iron Tiger, Lucky Mouse e Red Phoenix, è attivo dal 2013 e ha come obiettivo una vasta gamma di settori industriali per perseguire i suoi obiettivi di raccolta di informazioni. Il gruppo utilizza vari strumenti come China Chopper web shell, Gh0st RAT, HyperBro, PlugX, SysUpdate e ZXShell per esfiltrare informazioni di alto valore e mantenere l’accesso a sistemi sensibili per un lungo periodo di tempo.
Nonostante l’uso di malware personalizzato, Budworm ha anche utilizzato una varietà di strumenti disponibili pubblicamente in questi attacchi. Sembra che l’attività del gruppo sia stata fermata precocemente nella catena di attacco, poiché l’unica attività maliziosa osservata sulle macchine infette è la raccolta di credenziali.
Con questo ultimo sviluppo, Budworm si aggiunge alla crescente lista di attori di minaccia che hanno rivolto la loro attenzione al settore delle telecomunicazioni nel Medio Oriente, compresi i gruppi precedentemente non documentati denominati ShroudedSnooper e Sandman. SysUpdate è in uso da Budworm almeno dal 2020, e gli aggressori sembrano continuare a sviluppare lo strumento per migliorare le sue capacità ed evitare il rilevamento.
Cosa è Budworm?
Budworm è un gruppo di minaccia legato alla Cina noto per attaccare una vasta gamma di settori industriali utilizzando vari strumenti malware per esfiltrare informazioni di alto valore e mantenere l’accesso a sistemi sensibili.