Aktor ancaman yang berbasis di China, dilacak sebagai kaisar capung dan umumnya dikaitkan dengan usaha kejahatan dunia maya, telah diamati menggunakan dalam serangan ransomware, toolset yang sebelumnya dikaitkan dengan aktor spionase.
Para peretas menggunakan ransomware dunia RA terhadap perusahaan perangkat lunak dan jasa Asia dan menuntut pembayaran tebusan awal sebesar $ 2 juta.
Para peneliti dari tim Hunter Ancaman Symantec mengamati kegiatan tersebut pada akhir 2024 dan menyoroti potensi tumpang tindih antara aktor spionase dunia maya yang didukung negara dan kelompok kejahatan dunia maya yang termotivasi secara finansial.
“Selama serangan pada akhir 2024, penyerang mengerahkan toolset berbeda yang sebelumnya telah digunakan oleh aktor yang terkait dengan China dalam serangan spionase klasik,” para peneliti mengatakanmenambahkan bahwa “alat yang terkait dengan kelompok spionase yang berbasis di China sering kali dibagikan sumber daya” tetapi “banyak yang tidak tersedia untuk umum dan biasanya tidak dikaitkan dengan aktivitas kejahatan dunia maya.”
Sebuah laporan di Juli 2024 Dari Unit 42 Palo Alto Networks ‘juga Associated Emperor Dragonfly (alias Bronze Starlight) dengan Ra World, meskipun dengan kepercayaan diri rendah. Menurut para peneliti, dunia RA berputar Grup RAyang diluncurkan pada tahun 2023 sebagai keluarga berbasis Babuk.
Dari spionase ke ransomware
Antara Juli 2024 hingga Januari 2025, aktor spionaged yang berbasis di China menargetkan kementerian pemerintah dan operator telekomunikasi di Eropa Tenggara dan Asia, tujuan yang jelas adalah kegigihan jangka panjang.
Dalam serangan ini, varian spesifik dari backdoor plugx (korplug) digunakan dengan Toshiba yang dapat dieksekusi (Toshdpdb.exe) melalui Sideloading DLL, bersama dengan DLL berbahaya (toshdpapi.dll).
Selain itu, Symantec mengamati penggunaan proxy NPS, alat yang dikembangkan China yang digunakan untuk komunikasi jaringan rahasia, dan berbagai muatan yang dienkripsi RC4.
Pada bulan November 2024, muatan Korplug yang sama digunakan terhadap perusahaan perangkat lunak Asia Selatan. Kali ini, diikuti oleh serangan ransomware dunia RA.
Penyerang itu diduga mengeksploitasi Palo Alto Pan-OS (CVE-2024-0012) untuk menyusup ke jaringan dan kemudian mengikuti teknik sideloading yang sama yang melibatkan file yang dapat dieksekusi Toshiba dan DLL untuk menggunakan Korplug sebelum mengenkripsi mesin.
Berdasarkan bukti yang tersedia, hipotesisnya adalah bahwa operator cyber yang didukung negara Cina yang melakukan serangan spionase dapat “cahaya bulan” sebagai aktor ransomware untuk keuntungan pribadi.
Symantec laporan Daftar indikator kompromi (IOC) yang terkait dengan aktivitas yang diamati untuk membantu para pembela mendeteksi dan memblokir serangan sebelum kerusakan dilakukan.
