Il gruppo di cyberspionaggio cinese Evasive Panda è stato recentemente sorpreso mentre colpiva membri locali di un’organizzazione non governativa (ONG) internazionale, utilizzando il backdoor MgBot. Il malware è stato distribuito attraverso canali di aggiornamento legittimi di software cinesi molto diffusi, secondo quanto riportato dalla società di cybersecurity ESET.
Evasive Panda e la backdoor MgBot
Evasive Panda, noto anche come Bronze Highland e Daggerfly, è attivo dal 2012 e ha come obiettivo individui ed enti governativi in Cina, India, Hong Kong, Macao, Malesia, Myanmar, Filippine, Nigeria, Taiwan e Vietnam. Da circa un decennio, l’APT si affida a un framework di malware personalizzato e modulare, che include il backdoor MgBot per spiare le vittime.
L’attacco e le vittime
ESET ha scoperto una campagna malevola avviata nel 2020 e proseguita per tutto il 2021, che ha colpito individui nelle province cinesi di Gansu, Guangdong e Jiangsu. La maggior parte delle vittime sono membri di un’ONG internazionale che opera in due delle province colpite. È stata identificata anche una vittima in Nigeria.
La distribuzione del malware tramite aggiornamenti legittimi
Nell’ambito degli attacchi, il backdoor MgBot è stato probabilmente distribuito alle vittime attraverso canali di aggiornamento legittimi, come un attacco alla catena di fornitura (tramite i server di aggiornamento compromessi dell’applicazione legittima QQ di Tencent) o tramite attacchi “avversario-in-the-middle” (AitM), in cui gli aggressori compromettono l’infrastruttura Internet.
Funzionalità del backdoor MgBot
Sviluppato in C++, il backdoor MgBot utilizzato in questi attacchi permette agli aggressori di raccogliere grandi quantità di informazioni dalle macchine Windows delle vittime. Il malware è in grado di registrare i tasti premuti, rubare file da dischi rigidi, unità USB e CD, rubare il contenuto degli appunti, catturare l’audio, sottrarre credenziali da numerose applicazioni e rubare i cookie del browser.