Introduzione: Un gruppo di hacker di lingua cinese è stato collegato a una campagna malevola che prende di mira il Ministero degli Affari Esteri dell’Uzbekistan e gli utenti sudcoreani, utilizzando un trojan di accesso remoto chiamato SugarGh0st RAT. Questa attività, iniziata non prima di agosto 2023, si avvale di due diverse sequenze di infezione per distribuire il malware, una variante personalizzata del Gh0st RAT (noto anche come Farfli).
Tecniche di infiltrazione e funzionalità del Malware
Gli attacchi iniziano con un’email di phishing contenente documenti ingannevoli, la cui apertura attiva un processo multi-stadio che porta al dispiegamento di SugarGh0st RAT. I documenti ingannevoli sono incorporati in un dropper JavaScript fortemente offuscato, contenuto in un file di scelta rapida di Windows inserito in un allegato email in formato RAR. Il documento ingannevole viene visualizzato alla vittima, mentre in background uno script batch esegue un caricatore DLL, che a sua volta carica lateralmente una versione copiata di un eseguibile Windows legittimo, rundll32.exe, per decifrare e lanciare il payload di SugarGh0st.
Capacità e obiettivi di SugarGh0st RAT
SugarGh0st, una libreria a collegamento dinamico (DLL) a 32 bit scritta in C++, stabilisce il contatto con un dominio di comando e controllo (C2) codificato, permettendogli di trasmettere metadati di sistema al server, avviare un shell inverso ed eseguire comandi arbitrari. Può anche enumerare e terminare processi, catturare screenshot, eseguire operazioni sui file e persino cancellare i log degli eventi della macchina nel tentativo di coprire le sue tracce ed evitare il rilevamento.
Collegamenti con la Cina e implicazioni globali
I collegamenti della campagna con la Cina derivano dalle origini cinesi di Gh0st RAT e dal fatto che il backdoor completamente funzionale è stato ampiamente adottato dagli attori di minaccia cinesi nel corso degli anni, in parte a causa del rilascio del suo codice sorgente nel 2008. Un’altra prova evidente è l’uso di nomi cinesi nel campo “ultimo modificato da” nei metadati dei file ingannevoli. Gli attori cinesi hanno anche una storia di attacchi mirati all’Uzbekistan, e il mirare al Ministero degli Affari Esteri dell’Uzbekistan si allinea con l’ambito dell’attività di intelligence cinese all’estero.