中国威胁行为者与 NSPX30 间谍软件有关

在一系列中间对手 (AitM) 攻击中发现了一个与中国有联系的先前未知的威胁行为者，这些攻击利用合法的软件更新请求来发送名为 NSPX30 的高级植入程序。网络安全专家正在监控这个被称为 Blackwood 的高级持续威胁 (APT) 组织，据报道该组织至少自 2018 年以来一直在运作。

据观察，NSPX30 植入程序通过腾讯 QQ、WPS Office 和搜狗拼音等知名软件的更新机制进行分发。这些攻击的目标包括中国和日本的制造、贸易和工程公司，以及中国、日本和英国的个人

NSPX30 被描述为多级植入，包含各种组件，包括植入程序、安装程序、加载程序、协调器和后门，后两者有自己的插件集。该植入程序的设计以攻击者进行数据包拦截的能力为中心，允许 NSPX30 运营商隐藏其基础设施。

恶意软件的起源

该后门的起源可以追溯到 2005 年 1 月名为 Project Wood 的恶意软件，该恶意软件的创建目的是收集系统和网络信息、记录击键并捕获受害者系统的屏幕截图。 Project Wood 的代码库是多种植入的基础，在 2008 年引发了 DCM（又名 Dark Spectre）等变体。该恶意软件随后在 2012 年和 2014 年针对香港和大中华地区的相关个人发起了攻击。

最新版本 NSPX30 是通过尝试通过（未加密的）HTTP 协议下载软件更新来提供的，从而导致系统受到损害。恶意植入程序是受感染更新过程的一部分，它会在磁盘上创建文件并执行“RsStub.exe”，这是与瑞星防病毒软件相关的二进制文件。这样做是为了利用“comx3.dll”对 DLL 侧面加载的敏感性来启动“comx3.dll”。

“comx3.dll”充当执行名为“comx3.dll.txt”的文件的加载程序，该文件充当激活攻击链下一阶段的安装程序库。该链最终导致协调器组件（“WIN.cfg”）的执行。尽管过去涉及中国威胁行为者（例如 BlackTech、Evasive Panda、Judgment Panda 和 Mustang Panda）已利用受感染的路由器作为传播恶意软件的手段，但以恶意更新形式传播植入程序的方法目前尚不清楚。