L'APT cinese prende di mira la Corea del Sud in una campagna pluriennale
C’è stato un vasto sforzo di spionaggio informatico sponsorizzato dallo stato cinese durato diversi anni e che ha preso di mira entità accademiche, politiche e governative della Corea del Sud.
Il gruppo Insikt di Recorded Future, che opera sotto il nome in codice TAG-74, ha identificato questa campagna. Hanno collegato l’avversario all’intelligence militare cinese e hanno espresso preoccupazione per il suo impatto sulle organizzazioni accademiche, aerospaziali, della difesa, governative, militari e politiche sudcoreane, giapponesi e russe.
La società di sicurezza informatica ha definito il targeting delle istituzioni accademiche sudcoreane come parte della più ampia strategia della Cina volta a impegnarsi nel furto di proprietà intellettuale e ad aumentare la propria influenza, in particolare alla luce della sua relazione strategica con gli Stati Uniti.
File della guida utilizzati come esca
L'APT cinese impiega tecniche di ingegneria sociale, utilizzando i file Microsoft Compiled HTML Help (CHM) come esca. Questi file introducono una versione personalizzata della backdoor Visual Basic Script open source denominata ReVBShell. Questa backdoor facilita successivamente l'implementazione del trojan di accesso remoto Bisonal.
ReVBShell è progettato per rimanere inattivo per un periodo specificato, con la possibilità di regolare questo intervallo tramite comandi remoti. Utilizza inoltre la codifica Base64 per oscurare le comunicazioni di comando e controllo (C2).
L'uso di ReVBShell è stato associato ad altri due cluster legati alla Cina noti come Tick e Tonto Team. Nell’aprile 2023, l’ASEC (AhnLab Security Emergency Response Center) ha rilevato una sequenza di infezione identica collegata al Tonto Team.
Bisonal, il trojan di accesso remoto fornito da ReVBShell, è uno strumento versatile in grado di svolgere varie attività, tra cui raccolta di informazioni, esecuzione di comandi, gestione di processi, trasferimenti di file ed eliminazione di file.
TAG-74 è strettamente legato a Tick, sottolineando la pratica prevalente di condivisione degli strumenti tra i gruppi di minacce cinesi.
Recorded Future ha sottolineato che la campagna TAG-74 riflette l'impegno duraturo del gruppo nel raccogliere informazioni da obiettivi sudcoreani per un lungo periodo.
