Il gruppo di hacking per cyber-spionaggio Sharp Panda sta mirando a enti governativi di alto profilo in Vietnam, Thailandia e Indonesia con una nuova versione del framework malware ‘Soul’.
Il particolare malware era stato precedentemente visto in campagne di spionaggio mirate ad organizzazioni critiche del sud-est asiatico, attribuite a vari APT cinesi. Check Point ha identificato una nuova campagna che utilizza il malware, iniziata alla fine del 2022 e in corso nel 2023, che impiega attacchi di spear-phishing per il compromesso iniziale.
L’uso del kit RoyalRoad RTF, degli indirizzi del server C2 e delle ore di lavoro degli hacker ha permesso a Check Point di attribuire l’ultima operazione di spionaggio agli hacker cinesi supportati dallo stato. Le TTP e gli strumenti sono coerenti con le attività precedentemente osservate da Sharp Panda. La nuova campagna di Sharp Panda utilizza e-mail di spear-phishing con allegati di file DOCX malevoli che utilizzano il kit RoyalRoad RTF per tentare di sfruttare vulnerabilità più vecchie per rilasciare il malware sull’host.
In questo caso, l’exploit crea un task programmato e quindi rilascia ed esegue un downloader di malware DLL, che a sua volta recupera ed esegue una seconda DLL dal server C2, il caricatore SoulSearcher. Questa seconda DLL crea una chiave di registro con un valore che contiene il payload compresso finale e quindi decifra e carica il backdoor modulare Soul in memoria, aiutandolo a eludere la rilevazione degli strumenti antivirus in esecuzione sul sistema compromesso.
Al momento dell’esecuzione, il modulo principale del malware Soul stabilisce una connessione con il C2 e attende moduli aggiuntivi che estenderanno la sua funzionalità.
