Il gruppo di minaccia legato alla Cina noto come Evasive Panda ha orchestrato attacchi di tipo watering hole e alla catena di fornitura contro utenti tibetani almeno da settembre 2023. Lo scopo degli attacchi è di distribuire downloader malevoli per Windows e macOS che implementano un backdoor noto come MgBot e un nuovo implant per Windows precedentemente non documentato chiamato Nightdoor.
Dettagli degli attacchi
Le scoperte, emerse da ESET, rivelano che gli attaccanti hanno compromesso almeno tre siti web per effettuare attacchi di tipo watering hole, oltre a compromettere la catena di fornitura di un’azienda software tibetana. Questa operazione è stata scoperta a gennaio 2024.
Evasive Panda, attivo dal 2012 e noto anche come Bronze Highland e Daggerfly, era stato precedentemente identificato da ESET ad aprile 2023 per aver preso di mira un’organizzazione non governativa internazionale (ONG) in Cina continentale con MgBot.
Obiettivi e tecniche
La serie più recente di attacchi cibernetici include il compromesso strategico del sito web della Kagyu International Monlam Trust. Gli attaccanti hanno inserito uno script nel sito che verifica l’indirizzo IP della potenziale vittima e, se rientra in uno dei range di indirizzi bersaglio, mostra una falsa pagina di errore per invogliare l’utente a scaricare un “fix” denominato certificato.
Gli indirizzi IP verificati mostrano che l’attacco è specificamente progettato per prendere di mira utenti in India, Taiwan, Hong Kong, Australia e negli Stati Uniti. Si sospetta che Evasive Panda abbia sfruttato il festival annuale Kagyu Monlam, tenutosi in India a fine gennaio e febbraio 2024, per colpire la comunità tibetana in diversi paesi e territori.
Impatto e conseguenze
L’eseguibile, denominato “certificate.exe” su Windows e “certificate.pkg” su macOS, funge da trampolino di lancio per caricare l’implant Nightdoor, che successivamente sfrutta l’API di Google Drive per il comando e il controllo (C2).
Inoltre, la campagna è degna di nota per aver infiltrato il sito web di un’azienda software indiana e la sua catena di fornitura per distribuire installatori di Windows e macOS trojanizzati del software di traduzione della lingua tibetana. La compromissione è avvenuta a settembre 2023.
Gli installatori Windows trojanizzati innescano una sofisticata sequenza di attacchi multi-stadio per distribuire MgBot o Nightdoor, segni dei quali sono stati rilevati già dal 2020.
Il backdoor è dotato di funzionalità per raccogliere informazioni di sistema, elencare app installate e processi in esecuzione; generare un reverse shell, eseguire operazioni sui file e disinstallarsi dal sistema infetto.
ESET sottolinea che gli attaccanti hanno utilizzato diversi downloader, dropper e backdoor, inclusi MgBot – usato esclusivamente da Evasive Panda – e Nightdoor, l’ultima importante aggiunta all’arsenale del gruppo, utilizzata per prendere di mira diverse reti in Asia orientale.