L'APT cinese "Flea" prende di mira le istituzioni statunitensi con malware backdoor

I ricercatori hanno scoperto che un attore sponsorizzato dallo stato cinese chiamato Flea ha condotto una campagna mirata contro i ministeri degli affari esteri nelle Americhe tra la fine del 2022 e l'inizio del 2023. Secondo i ricercatori, gli attacchi informatici hanno comportato l'uso di una nuova backdoor chiamata Graphican. Oltre ai ministeri, la campagna ha preso di mira un dipartimento delle finanze del governo, una società che opera nelle Americhe e una vittima non specificata in Europa.

Il rapporto dei ricercatori ha evidenziato l'ampio arsenale di strumenti impiegati da Flea, descrivendo l'attore della minaccia come ben finanziato e formidabile. Insieme alla backdoor di Graphican, gli aggressori hanno utilizzato vari strumenti e strumenti "viventi fuori terra" precedentemente associati a Flea.

Flea, noto anche come APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (precedentemente Nickel), Playful Taurus, Royal APT e Vixen Panda, è un gruppo di minaccia persistente avanzato che prende di mira governi, missioni diplomatiche e ambasciate almeno dal 2004.

All'inizio di quest'anno, il gruppo è stato attribuito a una serie di attacchi contro entità governative iraniane tra luglio e dicembre 2022. Il mese scorso, è stato rivelato che il governo keniota era stato al centro di un'operazione di raccolta di informazioni di tre anni mirata a ministeri chiave e istituzioni statali.

Flea è stata anche collegata a diverse campagne di sorveglianza Android, tra cui SilkBean e BadBazaar, che hanno preso di mira gli uiguri in Cina e all'estero.

Graphican Malware è un aggiornamento di Ketrican esistente

Graphican, la nuova backdoor utilizzata da Flea, è considerata un'evoluzione di una precedente backdoor chiamata Ketrican. Combina le funzionalità di Ketrican e un altro impianto chiamato Okrum per creare un nuovo malware chiamato Ketrum. Graphican si distingue da Ketrican utilizzando l'API Microsoft Graph e OneDrive per recuperare i dettagli del server di comando e controllo (C&C).

A differenza di Ketrican, Graphican non ha un indirizzo del server C&C codificato. Si connette invece a OneDrive tramite l'API Microsoft Graph per ottenere l'indirizzo del server C&C crittografato da una cartella specifica. Va notato che l'abuso dell'API Microsoft Graph e di OneDrive è stato osservato in passato con attori russi e cinesi come APT28 e Bad Magic.

Graphican ha la capacità di comunicare con il server C&C, ricevere comandi, creare una riga di comando interattiva, scaricare file e stabilire processi nascosti per l'estrazione dei dati.

Un altro strumento degno di nota utilizzato nella campagna è una versione aggiornata della backdoor EWSTEW, che consente l'estrazione delle e-mail inviate e ricevute dai server Microsoft Exchange compromessi.