Entità governative del sud-est asiatico nel mirino della Victory Backdoor

Gli specialisti della sicurezza informatica hanno identificato una nuova campagna di spionaggio del crimine informatico, che prende di mira entità diplomatiche e governative nel sud-est asiatico. Sebbene l'autore dell'attacco non sia ancora stato identificato, gli esperti riferiscono che è probabile che provenga dalla Cina, considerando il tipo di entità che prendono di mira, nonché il fatto che hanno utilizzato l'arma RoyalRoad per creare file RTF dannosi. Oltre a questi due risultati, i ricercatori notano anche che in questa campagna è stata introdotta una nuovissima famiglia di malware, la Victory Backdoor.

Le vittime sono state avvicinate tramite e-mail di spear-phishing contenenti il suddetto allegato RTF come arma. La cosa sorprendente della Victory Backdoor è che sembra essere in fase di sviluppo da molto tempo: le prime versioni del payload sono state compilate più di tre anni fa.

Lo scopo di Victory Backdoor è fornire agli operatori un accesso permanente alla rete compromessa, nonché estrarre silenziosamente i dati da essa. Può manipolare file, acquisire schermate e raccogliere vari dettagli sulla configurazione hardware e software del sistema compromesso. Gli sviluppatori del malware sembrano aver prestato particolare attenzione alla sicurezza della comunicazione tra l'impianto e il server di controllo: queste connessioni sono pesantemente crittografate e offuscate.

Finora, non ci sono state abbastanza informazioni per attribuire lo sviluppo e l'uso di Victory Backdoor a un particolare attore cinese di Advanced Persistent Threat (APT), ma i ricercatori hanno molta fiducia che i criminali stiano effettivamente operando dalla Cina.