Stealth Soldier Malware som används i cyberspionage

I Nordafrika har en serie mycket riktade spionageattacker utförts med hjälp av en nyutvecklad bakdörr som heter Stealth Soldier.

Cybersäkerhetsföretaget Check Point beskrev i en teknisk rapport Stealth Soldier som en anpassad bakdörr som huvudsakligen fungerar i övervakningssyfte. Dess funktioner inkluderar att extrahera filer, spela in skärm- och mikrofonaktiviteter, logga tangenttryckningar och stjäla webbläsarinformation.

Den pågående operationen innebär användning av kommando-och-kontrollservrar som efterliknar webbplatser som tillhör det libyska utrikesministeriet. De tidigaste tecknen på denna kampanj kan spåras tillbaka till oktober 2022.

Attackerna börjar med att potentiella mål laddar ned falska nedladdningsbinärer genom social ingenjörsteknik. Dessa mellanliggande nyttolaster fungerar som en kanal för att få Stealth Soldier samtidigt som de visar en lockbete-PDF-fil.

Stealth Soldier, ett anpassat modulärt implantat, tros användas sparsamt. Det ger övervakningsmöjligheter genom att samla in kataloglistor och webbläsaruppgifter, fånga tangenttryckningar, spela in ljud från mikrofonen, ta skärmdumpar, ladda upp filer och utföra PowerShell-kommandon. Check Point avslöjade att skadlig programvara använder olika typer av kommandon, inklusive plugins som laddats ner från kommando-och-kontrollservern och interna moduler.

Stealth Soldier fortfarande aktivt uppdaterad

Upptäckten av tre versioner av Stealth Soldier tyder på att operatörerna aktivt underhåller och uppdaterar den.

Medan vissa komponenter i skadlig programvara inte längre är tillgängliga, sägs plugins för skärmdumpning och webbläsarreferensstöld ha inspirerats av öppen källkodsprojekt som finns på GitHub.

Dessutom visar infrastrukturen som stöder Stealth Soldier likheter med den infrastruktur som användes i en tidigare nätfiskekampanj kallad Eye on the Nile, som riktade sig till egyptiska journalister och människorättsaktivister 2019.

Denna senaste utveckling tyder på att hotaktören som är involverad i Eye on the Nile kan återuppstå. Det indikerar att gruppen är fokuserad på övervakningsaktiviteter riktade mot egyptiska och libyska enheter.