Ator de ameaça chinês vinculado ao spyware NSPX30

Um ator de ameaça anteriormente desconhecido com ligações à China foi identificado numa série de ataques adversários no meio (AitM), onde pedidos legítimos de atualização de software são explorados para fornecer um implante avançado denominado NSPX30. Especialistas em segurança cibernética estão monitorando esse grupo avançado de ameaças persistentes (APT), conhecido como Blackwood, que está operacional desde pelo menos 2018.

Observa-se que o implante NSPX30 é distribuído por meio de mecanismos de atualização de softwares conhecidos, como Tencent QQ, WPS Office e Sogou Pinyin. Os alvos desses ataques incluem empresas chinesas e japonesas de manufatura, comércio e engenharia, bem como indivíduos na China, no Japão e no Reino Unido.

Descrito como um implante de vários estágios, o NSPX30 compreende vários componentes, incluindo conta-gotas, instalador, carregadores, orquestrador e backdoor, sendo que os dois últimos possuem seus próprios conjuntos de plug-ins. O design do implante está centrado na capacidade dos invasores de realizar interceptação de pacotes, permitindo que os operadores NSPX30 ocultem sua infraestrutura.

Origens do malware

As origens do backdoor remontam a um malware chamado Project Wood, de janeiro de 2005, que foi criado para coletar informações do sistema e da rede, registrar pressionamentos de teclas e capturar imagens dos sistemas das vítimas. A base de código do Projeto Wood serviu de base para vários implantes, dando origem a variantes como DCM (também conhecido como Dark Spectre) em 2008. Este malware foi posteriormente empregado em ataques direcionados a indivíduos de interesse em Hong Kong e na área da Grande China em 2012 e 2014.

A iteração mais recente, NSPX30, é entregue por meio de tentativas de download de atualizações de software por meio do protocolo HTTP (não criptografado), resultando em um sistema comprometido. Um conta-gotas malicioso, parte do processo de atualização comprometido, cria arquivos no disco e executa “RsStub.exe”, um binário associado ao software Rising Antivirus. Isso é feito para iniciar "comx3.dll", explorando a suscetibilidade do primeiro ao carregamento lateral de DLL.

“comx3.dll” serve como um carregador para executar um arquivo chamado “comx3.dll.txt”, que funciona como uma biblioteca instaladora, ativando o próximo estágio da cadeia de ataque. Esta cadeia culmina na execução do componente orquestrador (“WIN.cfg”). O método de entrega do dropper na forma de atualizações maliciosas é atualmente desconhecido, embora instâncias anteriores envolvendo agentes de ameaças chineses, como BlackTech, Evasive Panda, Judgment Panda e Mustang Panda, tenham utilizado roteadores comprometidos como meio de distribuir malware.