Peretas yang disponsori negara yang ditautkan ke sutra topan aktivitas cluster ditargetkan diplomat dengan membajak lalu lintas web untuk mengarahkan kembali ke situs web yang melayani malware.
Para peretas menggunakan teknik musuh lanjutan-in-the-middle (AITM) untuk membajak portal tawanan jaringan dan mengirim target ke malware tahap pertama.
Google Ancaman Intelijen Grup (GTIG) melacak aktor ancaman sebagai UNC6384 dan, berdasarkan perkakas, penargetan, dan infrastruktur, percaya itu terkait dengan aktor ancaman Cina Temp.hex, juga dikenal sebagai Mustang Panda dan topan sutra.
Membajak permintaan Chrome
Peneliti GTIG percaya bahwa AITM dimungkinkan setelah mengkompromikan perangkat tepi pada jaringan target; Namun, mereka tidak menemukan bukti untuk mendukung teori ini.
Serangan dimulai ketika browser Chrome memeriksa apakah berada di belakang portal captive, yang merupakan halaman web di mana pengguna jaringan mengotentikasi sebelum terhubung ke internet.
Dengan peretas dalam posisi untuk membajak lalu lintas web, mereka mengarahkan target ke halaman arahan yang menyamar sebagai situs pembaruan plugin Adobe.
Korban mengunduh file ‘adobeplugins.exe’ yang ditandatangani secara digital, disajikan sebagai pembaruan plugin yang diperlukan, dan diarahkan ke petunjuk langkah demi langkah di situs untuk memotong prompt keamanan Windows saat menginstalnya.
Sumber: Google
Meluncurkan file itu menampilkan penginstal Microsoft Visual C ++, tetapi diam-diam mengunduh paket MSI yang disamarkan (20250509.bmp) yang berisi alat printer kanon yang sah, DLL (Canonstager), dan backdoor sogu.sec dalam formulir terenkripsi RC-4.
Canonstager mendekripsi dan memuat muatan akhir dalam memori sistem menggunakan teknik pemuatan sisi DLL.
SOGU.SEC, yang dikatakan Google adalah varian dari malware plugx, digunakan secara luas oleh beberapa grup ancaman Cina, dapat mengumpulkan informasi sistem, mengunggah atau mengunduh file, dan menyediakan operator dengan shell perintah jarak jauh.
.jpg)
Sumber: Google
Itu Peneliti GTIG mencatat Bahwa tidak jelas apakah entitas yang menandatangani file yang digunakan dalam kampanye ini, Chengdu Nuoxin Times Technology Co., Ltd, secara sadar berpartisipasi dalam operasi ini atau dikompromikan.
Namun, GTIG melacak setidaknya 25 sampel malware yang ditandatangani oleh entitas ini sejak awal 2023, terkait dengan berbagai kelompok aktivitas Cina.
Memperlakukan semua sertifikat dari Chengdu Nuoxin Times Technology Co., Ltd sebagai tidak dipercaya adalah tindakan defensif yang wajar sampai situasinya diklarifikasi.
Sumber: Google
Google memblokir domain berbahaya dan mengajukan hash melalui penjelajahan yang aman dan mengeluarkan peringatan penyerang yang didukung pemerintah untuk pengguna Gmail dan ruang kerja yang terkena dampak.
Raksasa teknologi ini juga telah berbagi aturan Yara untuk mendeteksi staticplugin dan canonstager, dan indikator kompromi (IOC) untuk semua file yang dicicipi dari serangan ini.
Kampanye terbaru ini menunjukkan peningkatan kecanggihan aktor spionase Cina-Nexus, yang sangat mungkin beralih ke infrastruktur baru dan build biner dan pulih dengan cepat.
