Overheidsinstanties van Zuidoost-Azië die het doelwit zijn van de achterdeur van de overwinning
Cybersecurity-specialisten hebben een nieuwe spionagecampagne op het gebied van cybercriminaliteit geïdentificeerd, gericht op diplomatieke en overheidsinstanties in Zuidoost-Azië. Hoewel de dader van de aanval nog moet worden geïdentificeerd, melden experts dat ze waarschijnlijk afkomstig zijn uit China, gezien het soort entiteiten waarop ze zich richten, evenals het feit dat ze de RoyalRoad-wapens hebben gebruikt om kwaadaardige RTF-bestanden te maken. Naast deze twee bevindingen merken onderzoekers ook op dat er in deze campagne een gloednieuwe malwarefamilie is geïntroduceerd, de Victory Backdoor.
De slachtoffers werden benaderd via spear-phishing-e-mails met de eerder genoemde bewapende RTF-bijlage. Het verrassende aan de Victory Backdoor is dat deze al heel lang in ontwikkeling lijkt te zijn - de vroegste versies van de payload zijn meer dan drie jaar geleden samengesteld.
Het doel van de Victory Backdoor is om de operators blijvende toegang te geven tot het gecompromitteerde netwerk en om er stilletjes gegevens uit te filteren. Het kan bestanden manipuleren, screenshots maken en verschillende details verzamelen over de hardware- en softwareconfiguratie van het gecompromitteerde systeem. De ontwikkelaars van de malware lijken extra aandacht te hebben besteed aan de beveiliging van de communicatie tussen het implantaat en de controleserver – deze verbindingen zijn zwaar versleuteld en versluierd.
Tot dusver is er niet genoeg informatie om de ontwikkeling en het gebruik van Victory Backdoor toe te schrijven aan een bepaalde Chinese Advanced Persistent Threat (APT)-acteur, maar onderzoekers hebben er alle vertrouwen in dat de criminelen inderdaad vanuit China opereren.