Las personas de habla china son el objetivo de una nueva campaña que utiliza una versión troyanizada del lector SumatraPDF para implementar el agente post-explotación AdaptixC2 Beacon y, en última instancia, facilitar el abuso de los túneles de Microsoft Visual Studio Code (VS Code) para acceso remoto.
Zscaler ThreatLabz, que descubrió la campaña el mes pasado, la ha atribuido con gran confianza a Soldado tropical (también conocido como APT23, Earth Centaur, KeyBoy y Pirate Panda), un grupo de hackers conocido por atacar varias entidades en Taiwán, Hong Kong y Filipinas. Se estima que está activo desde al menos 2011.
«Los actores de amenazas crearon un oyente AdaptixC2 Beacon personalizado, aprovechando GitHub como su plataforma de comando y control (C2)», dijo el investigador de seguridad Yin Hong Chang en un análisis.
Se cree que los objetivos de la campaña son personas de habla china en Taiwán y personas de Corea del Sur y Japón. El punto de partida del ataque es un archivo ZIP que contiene documentos señuelo de temática militar para iniciar la versión fraudulenta de SumatraPDF, que luego se utiliza para mostrar un documento PDF señuelo, mientras que simultáneamente se recupera el código shell cifrado de un servidor provisional para iniciar AdaptixC2 Beacon.
Para lograr esto, el ejecutable SumatraPDF con puerta trasera lanza una versión ligeramente modificada de un cargador con nombre en código TOSHIS, que es una variante de Xiangoop, un malware vinculado a Tropic Trooper, y que se ha utilizado en el pasado para recuperar cargas útiles de la siguiente etapa como Cobalt Strike Beacon o el agente Merlin para el marco Mythic.
El cargador es responsable de activar el ataque de varias etapas, soltando tanto el documento señuelo como mecanismo de distracción como el agente AdaptixC2 Beacon en segundo plano. El agente emplea GitHub para C2, dirigiéndose a la infraestructura controlada por el atacante para buscar tareas que se ejecutarán en el host comprometido.
El ataque pasa a la siguiente etapa solo cuando la víctima se considera valiosa, momento en el que el actor de la amenaza implementa VS Code y configura túneles de VS Code para acceso remoto. En máquinas seleccionadas, se ha descubierto que el actor de amenazas instala aplicaciones troyanizadas alternativas, probablemente en un intento de camuflar mejor sus acciones.
Es más, se ha observado que el servidor de prueba involucrado en la intrusión («158.247.193(.)100») aloja un Cobalt Strike Beacon y una puerta trasera personalizada llamada EntryShell, los cuales han sido utilizados por Tropic Trooper en el pasado.
«Al igual que en la campaña TAOTH, las puertas traseras disponibles públicamente se utilizan como cargas útiles», dijo Zscaler. «Si bien anteriormente se usaban Cobalt Strike Beacon y Mythic Merlin, el actor de amenazas ahora ha pasado a AdaptixC2».
