Un attore di minacce sponsorizzato dal governo cinese, osservato nel colpire entità diplomatiche europee nel mese di marzo, potrebbe aver preso di mira i funzionari del governo russo con una versione aggiornata di un trojan di accesso remoto chiamato PlugX.
Secureworks ha attribuito i tentativi di intrusione a un attore di minacce che rintraccia come Bronze President, e dalla più ampia comunità di cybersecurity sotto i nomi di Mustang Panda, TA416, HoneyMyte, RedDelta e PKPLUG.
Bronze President, attivo almeno da luglio 2018, ha una storia di conduzione di operazioni di spionaggio sfruttando strumenti personalizzati e pubblicamente disponibili per compromettere, mantenere l’accesso a lungo termine e raccogliere dati da obiettivi di interesse.
Il principale tra i suoi strumenti è PlugX, una backdoor di Windows che consente agli attori delle minacce di eseguire una varietà di comandi sui sistemi infetti e che è stata impiegata da diversi attori cinesi sponsorizzati dallo stato nel corso degli anni.
Le ultime scoperte di Secureworks suggeriscono un’espansione della stessa campagna precedentemente dettagliata da Proofpoint ed ESET il mese scorso, che ha coinvolto l’uso di una nuova variante di PlugX dal nome in codice Hodur, così etichettata a causa delle sue sovrapposizioni con un’altra versione chiamata THOR emersa sulla scena nel luglio 2021.
La catena di attacchi inizia con un eseguibile maligno chiamato “Blagoveshchensk – Blagoveshchensk Border Detachment.exe” che si maschera come un documento apparentemente legittimo con un’icona PDF, che, quando viene aperto, porta alla distribuzione di un payload PlugX criptato da un server remoto.
“Blagoveshchensk è una città russa vicina al confine con la Cina ed è sede del 56° distaccamento delle guardie di confine Blagoveshchenskiy Red Banner“, hanno detto i ricercatori. “Questa connessione suggerisce che il nome del file è stato scelto per colpire funzionari o personale militare con familiarità con la regione“.
Il fatto che i funzionari russi possano essere stati l’obiettivo della campagna del marzo 2022 indica che l’attore della minaccia sta evolvendo le sue tattiche in risposta alla situazione politica in Europa e la guerra in Ucraina.
“Prendere di mira gli utenti di lingua russa e le entità europee suggerisce che gli attori della minaccia hanno ricevuto un compito aggiornato che riflette le mutevoli esigenze di raccolta di informazioni della [Repubblica popolare cinese]“, hanno detto i ricercatori.
I risultati arrivano settimane dopo che un altro gruppo di stato-nazione con sede in Cina, noto come Nomad Panda (alias RedFoxtrot), è stato collegato con media fiducia agli attacchi contro la difesa e i settori delle telecomunicazioni in Asia meridionale, sfruttando un’altra versione di PlugX soprannominata Talisman.
