Las personas de habla china son el objetivo de una nueva campa帽a que utiliza una versi贸n troyanizada del lector SumatraPDF para implementar el agente post-explotaci贸n AdaptixC2 Beacon y, en 煤ltima instancia, facilitar el abuso de los t煤neles de Microsoft Visual Studio Code (VS Code) para acceso remoto.
Zscaler ThreatLabz, que descubri贸 la campa帽a el mes pasado, la ha atribuido con gran confianza a Soldado tropical (tambi茅n conocido como APT23, Earth Centaur, KeyBoy y Pirate Panda), un grupo de hackers conocido por atacar varias entidades en Taiw谩n, Hong Kong y Filipinas. Se estima que est谩 activo desde al menos 2011.
芦Los actores de amenazas crearon un oyente AdaptixC2 Beacon personalizado, aprovechando GitHub como su plataforma de comando y control (C2)禄, dijo el investigador de seguridad Yin Hong Chang en un an谩lisis.
Se cree que los objetivos de la campa帽a son personas de habla china en Taiw谩n y personas de Corea del Sur y Jap贸n. El punto de partida del ataque es un archivo ZIP que contiene documentos se帽uelo de tem谩tica militar para iniciar la versi贸n fraudulenta de SumatraPDF, que luego se utiliza para mostrar un documento PDF se帽uelo, mientras que simult谩neamente se recupera el c贸digo shell cifrado de un servidor provisional para iniciar AdaptixC2 Beacon.
Para lograr esto, el ejecutable SumatraPDF con puerta trasera lanza una versi贸n ligeramente modificada de un cargador con nombre en c贸digo TOSHIS, que es una variante de Xiangoop, un malware vinculado a Tropic Trooper, y que se ha utilizado en el pasado para recuperar cargas 煤tiles de la siguiente etapa como Cobalt Strike Beacon o el agente Merlin para el marco Mythic.
El cargador es responsable de activar el ataque de varias etapas, soltando tanto el documento se帽uelo como mecanismo de distracci贸n como el agente AdaptixC2 Beacon en segundo plano. El agente emplea GitHub para C2, dirigi茅ndose a la infraestructura controlada por el atacante para buscar tareas que se ejecutar谩n en el host comprometido.
El ataque pasa a la siguiente etapa solo cuando la v铆ctima se considera valiosa, momento en el que el actor de la amenaza implementa VS Code y configura t煤neles de VS Code para acceso remoto. En m谩quinas seleccionadas, se ha descubierto que el actor de amenazas instala aplicaciones troyanizadas alternativas, probablemente en un intento de camuflar mejor sus acciones.
Es m谩s, se ha observado que el servidor de prueba involucrado en la intrusi贸n (芦158.247.193(.)100禄) aloja un Cobalt Strike Beacon y una puerta trasera personalizada llamada EntryShell, los cuales han sido utilizados por Tropic Trooper en el pasado.
芦Al igual que en la campa帽a TAOTH, las puertas traseras disponibles p煤blicamente se utilizan como cargas 煤tiles禄, dijo Zscaler. 芦Si bien anteriormente se usaban Cobalt Strike Beacon y Mythic Merlin, el actor de amenazas ahora ha pasado a AdaptixC2禄.
