SparklingGoblin 新的 APT 目标针对北美的实体

在进行研究并跟踪另一项调查之后，安全研究人员似乎在数字领域遇到了一个全新的威胁参与者。研究人员将新的 APT 或主动持续威胁行为者称为 SparklingGoblin。其活动可追溯到针对位于北美的机构和企业的攻击。

SparklingGoblin 是一种新的 APT，但根据迄今为止进行的观察和研究，它似乎与不同的已知威胁行为者有关。与 SparklingGoblin 相关联的实体被编纂为 APT41，并有多个名称，包括 Wicked Panda 和 Winnti Group。研究人员认为，Winnti Group 是在中国政府资助下在中国境外运营的威胁行为者。

两个 APT 之间的联系主要在它们都使用的渗透工具包中找到。 SparklingGoblin 被发现使用一种新的后门，类似于 Winnti Group 过去使用的后门工具。

SparklingGoblin 使用的恶意软件的新实例称为 SideWalk，它与 Winnti Group 过去使用的名为 CrossWalk 的研究人员已知的旧工具有许多相似之处。这是两个APT相互关联的主要指标之一，也是它们都使用中文的事实。

研究人员并没有专门寻找新的威胁行为者。他们实际上最初是在对 Winnti Group 的活动进行调查，但偶然发现了一个恶意软件样本，向他们暗示这是一个新实体。他们发现了一个恶意软件样本，它的打包方式与 Winnti Group 的 CrossWalk 类似，行为方式也类似，使用从命令和控制服务器接收到的命令执行 shell 代码。

但是，有一个关键的区别。 SparklingGoblin 使用的 SideWalk 工具使用了 PlugX 恶意软件的不同变体，研究人员称之为 Korplug。它还能够使用 Google Docs 云服务器作为其有效负载的死点位置。

一旦部署到系统上，SideWalk 就会使用进程挖空来注入其恶意代码，该代码已经被后门解密。研究人员表示，操作后门的 SparklingGoblin 团伙是在从它渗透的系统中收集信息之后。迄今为止，位于北美的目标是加拿大学校和一家美国计算机零售商。