Kinesiska APT "Flea" riktar sig till amerikanska institutioner med bakdörrsmalware

Forskare har upptäckt att en kinesisk statssponsrad aktör vid namn Flea genomförde en riktad kampanj mot utrikesministerier i Amerika mellan slutet av 2022 och början av 2023. Enligt forskarna involverade cyberattackerna användningen av en ny bakdörr vid namn Graphican. Utöver ministerierna riktade kampanjen sig mot en statlig finansavdelning, ett företag verksamt i Amerika och ett ospecificerat offer i Europa.

Rapporten från forskarna lyfte fram den omfattande arsenalen av verktyg som Flea använder, och beskrev hotaktören som välfinansierad och formidabel. Tillsammans med den grafiska bakdörren, använde angriparna olika verktyg för att leva utanför landet och verktyg som tidigare associerades med Flea.

Flea, även känd som APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (tidigare Nickel), Playful Taurus, Royal APT och Vixen Panda, är en avancerad grupp av bestående hot som har riktat sig mot regeringar, diplomatiska beskickningar och ambassader sedan åtminstone 2004.

Tidigare i år tillskrevs gruppen en serie attacker mot iranska regeringsenheter mellan juli och december 2022. Förra månaden avslöjades det att den kenyanska regeringen hade varit i fokus för en treårig underrättelseinsamlingsoperation riktad mot viktiga ministerier och statliga institutioner.

Flea har också kopplats till flera Android-övervakningskampanjer, inklusive SilkBean och BadBazaar, som riktade sig till uigurer i Kina och utomlands.

Graphican Malware är en uppdatering av existerande Ketrican

Graphican, den nya bakdörren som Flea använder, anses vara en utveckling av en tidigare bakdörr som heter Ketrican. Den kombinerar funktioner från Ketrican och ett annat implantat som heter Okrum för att skapa en ny skadlig programvara som heter Ketrum. Graphican skiljer sig från Ketrican genom att använda Microsoft Graph API och OneDrive för att hämta detaljerna om kommando-och-kontroll-servern (C&C).

Till skillnad från Ketrican har Graphican ingen hårdkodad C&C-serveradress. Istället ansluter den till OneDrive via Microsoft Graph API för att få den krypterade C&C-serveradressen från en specifik mapp. Det bör noteras att missbruk av Microsoft Graph API och OneDrive har observerats tidigare med ryska och kinesiska hotaktörer som APT28 och Bad Magic.

Graphican har förmågan att kommunicera med C&C-servern, ta emot kommandon, skapa en interaktiv kommandorad, ladda ner filer och upprätta hemliga processer för dataextraktion.

Ett annat anmärkningsvärt verktyg som används i kampanjen är en uppdaterad version av EWSTEW-bakdörren, som tillåter extrahering av skickade och mottagna e-postmeddelanden från komprometterade Microsoft Exchange-servrar.