Malware Stealth Soldier utilizzato nel cyberspionaggio
In Nord Africa, una serie di attacchi di spionaggio altamente mirati sono stati effettuati utilizzando una backdoor di nuova concezione chiamata Stealth Soldier.
La società di sicurezza informatica Check Point, in un rapporto tecnico, ha descritto Stealth Soldier come una backdoor personalizzata che opera principalmente per scopi di sorveglianza. Le sue funzioni includono l'estrazione di file, la registrazione delle attività dello schermo e del microfono, la registrazione delle sequenze di tasti e il furto di informazioni del browser.
L'operazione in corso prevede l'utilizzo di server di comando e controllo che imitano i siti web appartenenti al Ministero degli Affari Esteri libico. I primi segni di questa campagna risalgono all'ottobre 2022.
Gli attacchi iniziano con potenziali obiettivi che scaricano binari di downloader falsi attraverso tattiche di ingegneria sociale. Questi payload intermedi fungono da canale per ottenere Stealth Soldier visualizzando contemporaneamente un file PDF esca.
Si ritiene che Stealth Soldier, un impianto modulare personalizzato, venga usato con parsimonia. Potenzia le capacità di sorveglianza raccogliendo elenchi di directory e credenziali del browser, acquisendo sequenze di tasti, registrando l'audio dal microfono, acquisendo schermate, caricando file ed eseguendo comandi di PowerShell. Check Point ha rivelato che il malware utilizza diversi tipi di comandi, inclusi plug-in scaricati dal server di comando e controllo e moduli interni.
Stealth Soldier ancora attivamente aggiornato
La scoperta di tre versioni di Stealth Soldier suggerisce che gli operatori lo mantengano e lo aggiornino attivamente.
Sebbene alcuni componenti del malware non siano più accessibili, si dice che i plug-in per la cattura dello schermo e il furto delle credenziali del browser siano stati ispirati da progetti open source trovati su GitHub.
Inoltre, l'infrastruttura che supporta Stealth Soldier mostra somiglianze con l'infrastruttura utilizzata in una precedente campagna di phishing chiamata Eye on the Nile, che ha preso di mira giornalisti egiziani e attivisti per i diritti umani nel 2019.
Questo recente sviluppo suggerisce il potenziale riemergere dell'attore della minaccia coinvolto in Eye on the Nile. Indica che il gruppo è concentrato su attività di sorveglianza rivolte a entità egiziane e libiche.
