TinyNote Backdoor impiegato da un attore cinese di minacce

Camaro Dragon, un gruppo di stato-nazione cinese, è stato ancora una volta collegato a una nuova backdoor che serve i suoi obiettivi di raccolta di informazioni.

Secondo la società israeliana di sicurezza informatica Check Point, che ha chiamato il malware TinyNote, funziona come un payload iniziale in grado di eseguire l'enumerazione di base della macchina e l'esecuzione di comandi tramite PowerShell o Goroutines.

Sebbene il malware possa mancare di sofisticatezza, compensa impiegando tecniche ridondanti per mantenere l'accesso agli host compromessi, comprese molteplici attività di persistenza e diversi metodi di comunicazione con vari server.

Camaro Dragon si sovrappone a un altro gruppo sponsorizzato dallo stato cinese chiamato Mustang Panda, attivo almeno dal 2012.

Di recente, questo collettivo ha attirato l'attenzione con un impianto firmware personalizzato noto come Horse Shell, che trasforma i router TP-Link in una rete mesh, consentendo la trasmissione di comandi da e verso i server di comando e controllo (C2).

In sostanza, l'obiettivo è offuscare l'attività dannosa utilizzando router domestici compromessi come infrastruttura intermedia, facendo in modo che la comunicazione con i computer infetti sembri provenire da un nodo diverso.

Gli attori delle minacce cinesi diversificano il loro kit di strumenti

Queste ultime scoperte dimostrano la crescente sofisticatezza delle tattiche di evasione e del targeting utilizzate dagli aggressori, nonché l'ampia gamma di strumenti personalizzati utilizzati per violare le difese di vari obiettivi.

La backdoor di TinyNote è distribuita utilizzando nomi di file relativi agli affari esteri, come "PDF_Contacts List Of Invitated Deplomatic Members", e sembra prendere di mira le ambasciate nel sud-est e nell'Asia orientale. In particolare, questa è la prima istanza nota di un manufatto Mustang Panda scritto in Golang.

Un aspetto degno di nota di questo malware è la sua capacità di aggirare Smadav, una soluzione antivirus in Indonesia, che indica l'alto livello di preparazione degli aggressori e la profonda comprensione degli ambienti delle loro vittime.

Secondo Check Point, la backdoor è una dimostrazione dell'approccio mirato di Camaro Dragon e del notevole sforzo che hanno fatto per infiltrarsi nei loro obiettivi prefissati. L'uso della backdoor insieme a strumenti aggiuntivi con diversi livelli di avanzamento suggerisce che gli attori delle minacce stanno ampliando il loro arsenale di attacco.

In una scoperta separata, ThreatMon ha scoperto che APT41 (noto anche come Wicked Panda) utilizzava tecniche di vita fuori terra (LotL) per distribuire una backdoor di PowerShell utilizzando un eseguibile Windows legittimo chiamato "forfiles".