Conosciuto come HUI Loader, il malware è attivo da oltre sette anni, ma solo di recente è stato collegato a più gruppi sponsorizzati dallo Stato provenienti dalla Cina.
Secondo i ricercatori della Counter Threat Unit (CTU) di Secureworks, il malware HUI Loader può ora essere collegato a un paio di operazioni di malware che utilizzano la minaccia del ransomware come facciata per rubare la proprietà intellettuale agli obiettivi.
Operando come un attacco DLL loader, HUI Loader si nasconde all’interno di un file eseguibile altrimenti innocuo, diffuso tramite spam, phishing o exploit di vulnerabilità software. Il malware risale al 2015 ed è stato collegato a diverse campagne di hacking attribuite a gruppi con sede in Cina.
Una volta installato ed eseguito in memoria, lo strumento HUI Loader estrae il malware responsabile di fare il lavoro sporco di copiare, caricare e crittografare i dati sul sistema host. Una parte di questo lavoro viene svolta tramite un payload Cobalt Strike, mentre il resto viene svolto tramite pacchetti malware proprietari, ha riferito il CTU di Secureworks.
In definitiva, l’obiettivo dell’attacco è sottrarre la proprietà intellettuale all’obiettivo con la scusa di un attacco malware. Ciò offrirebbe al governo cinese un certo grado di negabilità per il furto di dati sensibili, in quanto gli amministratori vengono lasciati credere di essere bersaglio di comuni criminali informatici.
Per la maggior parte degli amministratori e dei difensori di rete, questo non è nulla di nuovo o degno di nota. Tuttavia, allontanandosi un po’ dagli attacchi, i ricercatori di Secureworks hanno notato uno schema che potrebbe collegare gli attacchi alla proprietà intellettuale a gruppi organizzati e gestiti da Pechino.
Una delle campagne più importanti che ha utilizzato lo strumento HUI-Loader è stata A41APT, un attacco che può essere ricondotto a una banda di hacker denominata Bronze Starlight. Questa operazione ha legami diretti con il Ministero della Sicurezza di Stato cinese (MSS).
I gruppi di minaccia con sede in Cina sono noti per adottare strumenti di sicurezza offensivi sviluppati da ricercatori indipendenti sia all’interno che all’esterno del Paese, ha dichiarato Burnard.
“A volte questi strumenti vengono condivisi solo all’interno di forum chiusi“, ha dichiarato Burnard. “Tuttavia, dato che i primi utilizzi di HUI Loader sono legati esclusivamente a gruppi di spionaggio cinesi sponsorizzati dallo Stato, come ‘Bronze Riverside’, è plausibile che HUI Loader possa essere stato sviluppato da individui che lavorano per un’unità di intelligence del PLA [People’s Liberation Army] o dell’MSS“.
Sebbene la maggior parte degli attacchi sia stata limitata alle aziende giapponesi, le imprese statunitensi ed europee dovrebbero aggiornare il proprio software e assicurarsi che gli utenti siano attenti agli attacchi e ai metodi di phishing e social engineering più comuni, secondo le migliori pratiche.
