Un attore di minacce di lingua cinese chiamato Scarab è stato collegato a una backdoor personalizzata soprannominata HeaderTip come parte di una campagna che prende di mira l’Ucraina da quando la Russia ha intrapreso un’invasione il mese scorso, rendendolo il secondo gruppo di hacker basato in Cina dopo Mustang Panda a capitalizzare sul conflitto.
“L’attività dannosa rappresenta uno dei primi esempi pubblici di un attore cinese che prende di mira l’Ucraina da quando è iniziata l’invasione“, ha detto il ricercatore di SentinelOne Tom Hegel in un rapporto pubblicato questa settimana.
L’analisi di SentinelOne segue un avviso del Computer Emergency Response Team dell’Ucraina (CERT-UA) all’inizio di questa settimana che delinea una campagna di spear-phishing che porta alla consegna di un file di archivio RAR, che viene fornito con un eseguibile che è progettato per aprire un file esca mentre furtivamente lascia cadere una DLL dannosa chiamata HeaderTip in background.
Scarab è stato documentato per la prima volta dal Symantec Threat Hunter Team, parte di Broadcom Software, nel gennaio 2015, quando ha dettagliato attacchi altamente mirati contro individui di lingua russa almeno dal gennaio 2012 per distribuire una backdoor chiamata Scieron.
“Se gli aggressori compromettono con successo i computer delle vittime, allora usano una minaccia backdoor di base chiamata Trojan.Scieron per far cadere Trojan.Scieron.B sul computer“, hanno notato i ricercatori di Symantec all’epoca. “Trojan.Scieron.B ha un componente simile a un rootkit che nasconde alcune delle sue attività di rete e presenta funzionalità di backdoor più avanzate“.
Le connessioni di HeaderTip a Scarab provengono da sovrapposizioni di malware e infrastrutture a quelle di Scieron, con SentinelOne che chiama quest’ultimo un predecessore della backdoor appena scoperta.
Progettato come un file DLL a 32 bit e scritto in C ++, HeaderTip ha una dimensione di 9,7 KB e la sua funzionalità si limita ad agire come un pacchetto di primo stadio per il recupero dei moduli della fase successiva da un server remoto.
“Sulla base degli obiettivi noti dal 2020, compresi quelli contro l’Ucraina nel marzo 2022, oltre all’uso della lingua specifica, valutiamo con moderata fiducia che Scarab è di lingua cinese e opera per scopi di raccolta di informazioni geopolitiche“, ha dichiarato Hegel.
