Chinese APT 'Flea' tem como alvo instituições dos EUA com malware de backdoor

Pesquisadores descobriram que um ator patrocinado pelo estado chinês chamado Flea conduziu uma campanha direcionada contra ministérios de relações exteriores nas Américas entre o final de 2022 e o início de 2023. Segundo os pesquisadores, os ataques cibernéticos envolveram o uso de um novo backdoor chamado Graphican. Além dos ministérios, a campanha teve como alvo um departamento de finanças do governo, uma corporação operando nas Américas e uma vítima não especificada na Europa.

O relatório dos pesquisadores destacou o extenso arsenal de ferramentas empregadas pelo Flea, descrevendo o agente da ameaça como bem financiado e formidável. Juntamente com o backdoor do Graphican, os atacantes utilizaram várias ferramentas de "viver fora da terra" e ferramentas anteriormente associadas ao Flea.

Flea, também conhecido como APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (anteriormente Nickel), Playful Taurus, Royal APT e Vixen Panda, é um grupo avançado de ameaças persistentes que tem como alvo governos, missões diplomáticas e embaixadas desde pelo menos 2004.

No início deste ano, o grupo foi atribuído a uma série de ataques a entidades do governo iraniano entre julho e dezembro de 2022. No mês passado, foi revelado que o governo queniano havia sido o foco de uma operação de coleta de inteligência de três anos visando os principais ministérios e instituições estatais.

O Flea também foi vinculado a várias campanhas de vigilância do Android, incluindo SilkBean e BadBazaar, que visavam uigures na China e no exterior.

Graphican Malware é uma atualização para Ketrican existente

Graphican, o novo backdoor usado por Flea, é considerado uma evolução de um backdoor anterior chamado Ketrican. Ele combina recursos do Ketrican e outro implante chamado Okrum para criar um novo malware chamado Ketrum. O Graphican se destaca do Ketrican por utilizar a API do Microsoft Graph e o OneDrive para recuperar os detalhes do servidor de comando e controle (C&C).

Ao contrário do Ketrican, o Graphican não possui um endereço de servidor C&C codificado. Em vez disso, ele se conecta ao OneDrive por meio da API do Microsoft Graph para obter o endereço do servidor C&C criptografado de uma pasta específica. Deve-se observar que o abuso da API do Microsoft Graph e do OneDrive foi observado no passado com agentes de ameaças russos e chineses, como APT28 e Bad Magic.

Graphican tem a capacidade de se comunicar com o servidor C&C, receber comandos, criar uma linha de comando interativa, baixar arquivos e estabelecer processos secretos para extração de dados.

Outra ferramenta notável usada na campanha é uma versão atualizada do backdoor EWSTEW, que permite a extração de e-mails enviados e recebidos de servidores Microsoft Exchange comprometidos.