Kinesisk hotskådespelare kopplad till NSPX30-spionprogram

En tidigare okänd hotaktör med anknytning till Kina har identifierats i en serie av motståndare i mitten (AitM)-attacker, där legitima förfrågningar om mjukvaruuppdateringar utnyttjas för att leverera ett avancerat implantat som heter NSPX30. Cybersäkerhetsexperter övervakar denna avancerade persistent hot-grupp (APT), kallad Blackwood, som enligt uppgift har varit i drift sedan åtminstone 2018.

NSPX30-implantatet har observerats distribueras genom uppdateringsmekanismerna för välkänd programvara som Tencent QQ, WPS Office och Sogou Pinyin. Målen för dessa attacker inkluderar kinesiska och japanska tillverknings-, handels- och ingenjörsföretag, såväl som individer i Kina, Japan och Storbritannien

NSPX30 beskrivs som ett flerstegsimplantat och består av olika komponenter, inklusive en dropper, installatör, lastare, orkestrator och bakdörr, där de två sistnämnda har sina egna uppsättningar plugins. Implantatets design är centrerad kring angriparnas förmåga att utföra paketavlyssning, vilket gör att NSPX30-operatörer kan dölja sin infrastruktur.

Skadlig programvaras ursprung

Bakdörrens ursprung kan spåras tillbaka till en skadlig programvara som heter Project Wood från januari 2005, som skapades för att samla system- och nätverksinformation, spela in tangenttryckningar och ta skärmdumpar från offersystem. Project Woods kodbas fungerade som grunden för flera implantat, vilket gav upphov till varianter som DCM (aka Dark Spectre) 2008. Denna skadliga programvara användes sedan i attacker mot individer av intresse i Hongkong och området Stor-Kina under 2012 och 2014.

Den senaste iterationen, NSPX30, levereras genom försök att ladda ner programuppdateringar via det (okrypterade) HTTP-protokollet, vilket resulterar i ett äventyrat system. En skadlig dropper, en del av den komprometterade uppdateringsprocessen, skapar filer på disken och kör "RsStub.exe", en binär associerad med Rising Antivirus-programvara. Detta görs för att starta "comx3.dll" genom att utnyttja känsligheten hos den förra för DLL-sidoladdning.

"comx3.dll" fungerar som en loader för att köra en fil med namnet "comx3.dll.txt", som fungerar som ett installationsbibliotek som aktiverar nästa steg i attackkedjan. Denna kedja kulminerar i utförandet av orkestratorkomponenten ("WIN.cfg"). Metoden för att leverera dropparen i form av skadliga uppdateringar är för närvarande okänd, även om tidigare instanser som involverar kinesiska hotaktörer, som BlackTech, Evasive Panda, Judgment Panda och Mustang Panda, har använt komprometterade routrar som ett sätt att distribuera skadlig programvara.