Kinesiska APT riktar sig mot Sydkorea i flerårig kampanj
Det har förekommit en omfattande kinesisk statssponsrad cyberspionageinsats som sträcker sig över flera år, riktad mot sydkoreanska akademiska, politiska och statliga enheter.
Insikt Group från Recorded Future, som verkar under kodnamnet TAG-74, har identifierat denna kampanj. De har kopplat motståndaren till kinesisk militär underrättelsetjänst och har uttryckt oro över dess inverkan på sydkoreanska, japanska och ryska akademiska, rymd-, försvars-, statliga, militära och politiska organisationer.
Cybersäkerhetsföretaget har karakteriserat inriktningen på sydkoreanska akademiska institutioner som en del av Kinas bredare strategi att engagera sig i stöld av immateriella rättigheter och öka dess inflytande, särskilt i ljuset av dess strategiska relation med USA.
Hjälpfiler som används som bete
Den kinesiska APT använder social ingenjörsteknik och använder Microsoft Compiled HTML Help (CHM)-filer som bete. Dessa filer introducerar en anpassad version av Visual Basic Script-bakdörren med öppen källkod som heter ReVBShell. Denna bakdörr underlättar sedan utplaceringen av trojanen Bisonal fjärråtkomst.
ReVBShell är designad för att förbli vilande under en viss period, med möjligheten att justera detta intervall genom fjärrkommandon. Den använder också Base64-kodning för att dölja dess kommando-och-kontroll-kommunikation (C2).
Användningen av ReVBShell har associerats med två andra Kina-relaterade kluster kända som Tick och Tonto Team. I april 2023 upptäckte ASEC (AhnLab Security Emergency Response Center) en identisk infektionssekvens kopplad till Tonto Team.
Bisonal, fjärråtkomsttrojanen som levereras av ReVBShell, är ett mångsidigt verktyg som kan utföra olika uppgifter, inklusive informationsinsamling, kommandoexekvering, processhantering, filöverföringar och filborttagningar.
TAG-74 är nära knuten till Tick, vilket understryker den vanliga metoden att dela verktyg mellan kinesiska hotgrupper.
Recorded Future har betonat att TAG-74-kampanjen återspeglar gruppens varaktiga engagemang för att samla in underrättelser från sydkoreanska mål under en längre period.