Sommario
Earth Hundun, un gruppo di cyberspionaggio noto per le sue operazioni complesse, continua a essere una minaccia significativa nelle regioni Asia-Pacifico, mirando principalmente ai settori tecnologico e governativo. Utilizzando strumenti avanzati come Waterbear, che esiste in oltre dieci versioni dal 2009, e il suo piĆ¹ recente aggiornamento, Deuterbear, Earth Hundun mostra una capacitĆ notevole di evolvere e adattare le sue tecniche per rimanere nascosto e operativo come da analisi di TrendMicro.
Il malware Waterbear
Waterbear ĆØ particolarmente noto per la sua complessitĆ e le sue capacitĆ di evasione, che riducono significativamente la possibilitĆ di rilevamento e analisi. Le versioni successive di questo malware hanno introdotto miglioramenti sostanziali, rendendo le analisi e le mitigazioni ancora piĆ¹ sfidanti. Questo backdoor utilizza una vasta gamma di tecniche anti-debug, anti-sandbox e tecniche che ostacolano gli antivirus, aggiornate frequentemente per includere nuovi metodi di evasione.
Deuterbear: nuova entitĆ Malware
Nel 2022, Earth Hundun ha iniziato a utilizzare una nuova versione di Waterbear, conosciuta come Deuterbear. Questa versione include cambiamenti significativi come routine anti-scansione di memoria e di decrittazione, differenziandola notevolmente dalla Waterbear originale e considerata unāentitĆ malware distinta. Questi aggiornamenti indicano un continuo affinamento delle capacitĆ offensive del gruppo, mirando a rendere il malware ancora piĆ¹ resistente contro le contromisure di sicurezza.
Tattiche, Tecniche e Procedure (TTP)
Le tecniche implementate da Waterbear e Deuterbear dimostrano una conoscenza approfondita delle reti delle vittime. Ad esempio, alcuni downloader di Waterbear utilizzano server di comando e controllo (C&C) con indirizzi IP interni, suggerendo che gli attaccanti potrebbero avere un accesso dettagliato alle reti delle loro vittime. Questo implica lāuso di server multi-strato per evitare il rilevamento, sottolineando la natura sofisticata e strategica di questi attacchi.
Lāapprofondita conoscenza tecnica e la capacitĆ di adattamento di Earth Hundun la rendono una delle minacce piĆ¹ persistenti e sofisticate nel panorama della cyber security. Con ogni nuova versione di Waterbear e lāintroduzione di Deuterbear, il gruppo raffina ulteriormente il suo arsenale, posizionandosi come un serio rischio per la sicurezza delle organizzazioni nei settori tecnologico e governativo in Asia e oltre.