APT chinês desconhecido tem como alvo a Rússia com o malware PortDoor

Os atores da Advanced Persistent Threat (APT) continuam com seus ataques contra alvos de alto perfil. Desta vez, as manchetes mencionam um novo malware identificado como PortDoor. Acredita-se que seja usado e desenvolvido por um ator da APT com base na China e, até agora, tem sido usado em ataques contra vários setores russos, o mais notável dos quais é o setor de defesa. Um dos alvos era o Rubin Design Bureau - funcionários de alto escalão eram abordados por meio de e-mails de spear-phishing que continham um documento RTF criado com códigos maliciosos. Assim como outros agentes de ameaças baseados na China, esses também contam com o utilitário de construção RoyalRoad RTF.

As características do PortDoor Malware não são muito espetaculares, mas este malware brilha com outras coisas - parece que seus desenvolvedores enfatizaram um design furtivo, que permite que a ameaça tente esconder sua presença e atividade. A ameaça é capaz de identificar ambientes virtuais populares e interromper sua execução, tornando mais difícil dissecar o malware.

O Malware PortDoor se concentra em espionagem. Seus operadores têm acesso aos seguintes recursos:

• Liste todos os processos em execução.
• Gerenciar o sistema de arquivos.
• Leia as informações da partição do disco.
• Procure por arquivos.
• Encontre, criptografe e exfiltrate dados.

Até agora, o ataque de Malware PortDoor contra o setor de defesa russo não foi atribuído a um APT chinês em particular. No entanto, os especialistas observam que as propriedades e a infraestrutura de rede do Malware PortDoor sugerem que agentes de ameaça de alto perfil, como TA428 ou Rancor, podem estar associados ao ataque.