Daxin duikt weer op in Taiwan naast Stupig Pre-Login SYSTEM Backdoor

Een geavanceerde malware die eerder werd toegeschreven aan een aan China gelieerde bedreigingsacteur, is na ruim vier jaar weer opgedoken bij een Taiwanese productiefirma, samen met een voorheen niet gerapporteerde achterdeur genaamd Stom.

Daxin (“srt64.sys”), zoals de rootkit in de kernelmodus wordt genoemd, werd voor het eerst gedocumenteerd door Symantec, eigendom van Broadcom, in maart 2022, met bewijsmateriaal dat erop wijst dat het sinds 2013 wordt gebruikt bij gerichte aanvallen gericht op overheden en andere kritieke infrastructuurdoelen.

Uit de laatste bevindingen van het Symantec en Carbon Black Threat Hunter Team blijkt dat Daxin nog steeds operationeel is, nadat het in 2026 op een gecompromitteerde host in Taiwan werd aangetroffen. Dezelfde machine, eigendom van een in Taiwan gevestigde dochteronderneming van een multinationale hightechfabrikant, zou ook zijn geïnfecteerd met Stupig (“ad.dll” of “kbdus1.dll”). De bestandsnaam is een poging zich voor te doen als “kbdus.dll”, een legitieme Microsoft DLL die is gekoppeld aan de Amerikaans-Engelse toetsenbordindeling.

“Stupig gebruikt een techniek die bij geen enkele bekende malwarefamilie is gedocumenteerd”, aldus de cybersecurity-afdeling van Broadcom. “Een door ‘winlogon.exe’ geladen DLL met een getrojaniseerde toetsenbordindeling laat een aanvaller rechtstreeks vanaf het Windows-aanmeldingsscherm opdrachten als systeem uitvoeren, voordat iemand zich aanmeldt en zonder dat er een aanmeldingscontrolegebeurtenis plaatsvindt.”

Wat de inbraak opvallend maakt, is dat beide artefacten een compilatietijdstempel van begin 2013 dragen, hoewel de gecompromitteerde machine pas op 12 mei 2026 telemetrie begon te rapporteren. Gezien het vermogen van de bedreigingsacteur om langere tijd onopgemerkt te blijven, wordt vermoed dat de aanval dertien jaar onopgemerkt is gebleven.

Er zijn geen overlappingen op codeniveau vastgesteld tussen Daxin en Stupig, hoewel hun gezamenlijke implementatie op dezelfde host, in combinatie met complementaire functies, overeenkomsten in ontwikkelingspraktijken en de tijdstempels van de compilatie uit 2013, erop wijzen dat deze mogelijk het werk zijn geweest van dezelfde dreigingsactoren.

Daxin heeft een ongebruikelijke benadering van command-and-control. In plaats van rechtstreeks uitgaande verbindingen tot stand te brengen met een door de aanvaller gecontroleerde infrastructuur, monitort de Windows-kernelmodus-driver-backdoor inkomend TCP-verkeer op specifieke patronen en kaapt bestaande legitieme verbindingen voor gecodeerde C2-communicatie om zo op te gaan in de reguliere activiteiten. Het is uitgerust om te communiceren met machines die fysiek zijn losgekoppeld van het internet.

“Dit maakte Daxin uitzonderlijk moeilijk te identificeren met conventionele netwerkmonitoring”, merkte Broadcom op. “De malware ondersteunde ook multi-hop-communicatie via ketens van geïnfecteerde hosts, waardoor operators systemen op geïsoleerde netwerksegmenten konden bereiken.”

Hoe en wanneer de host precies is gehackt, is nog onbekend, maar er wordt vermoed dat het om een ​​verouderde versie gaat van de Digiwin-portal voor eenmalige aanmelding (SSO), die gebruik maakte van verouderde Java Development Kit (JDK) 1.5- en 1.6-installaties die teruggaan tot 2009 tot 2011.

“Stupig is een DLL-achterdeur die persistentie bereikt door zich te registreren als een leverancier van toetsenbordindelingen, waardoor win32k.sys het in winlogon.exe laadt bij het opstarten van het systeem”, legde het team van bedreigingsjagers uit. “De DLL retourneert een geldige KBDTABLES-aanwijzer, zodat de toetsenbordindeling normaal functioneert en niets weggeeft aan enig proces of beheerder die de geladen module inspecteert.”

Zodra het in “winlogon.exe” begint te draaien, let het op gebruikersnamen die beginnen met de tekenreeks “stupig” in het Windows-aanmeldingsscherm. Wanneer de gebruikersnaam wordt ingevoerd, wordt elke tekenreeks die op het voorvoegsel volgt, geïnterpreteerd als een opdracht en uitgevoerd met SYSTEEM-rechten. Als er na het voorvoegsel geen opdracht wordt ingevoerd, wordt er een opdrachtpromptsessie als SYSTEEM op het aanmeldingsscherm gegenereerd.

De ontdekking van Daxin in 2026 laat zien dat de cyberspionageoperatie nooit helemaal is gestopt. Integendeel, het bleef stil, met behoud van heimelijke volharding in gerichte netwerken.

“Door zich te verstoppen in het Windows-aanmeldingsproces en te registreren als een leverancier van toetsenbordindelingen, geeft Stupig operators opdrachtuitvoering op SYSTEEMniveau en diefstal van inloggegevens voordat een gebruiker zich aanmeldt, een toegangsmethode waar de meeste verdedigers zich niet van bewust zijn en waar ze ook niet naar uitkijken”, aldus Symantec en Carbon Black. “Of dezelfde operators beide tools hebben ingezet, kan niet worden bevestigd, maar hun functies zijn complementair.”

De onthulling komt op het moment dat Hunt.io zei dat het een vermoedelijk aan China gelieerde bedreigingsacteur had waargenomen die Anthropic Claude Code en DeepSeek-modellen gebruikte om inbraken tegen overheids- en financiële systemen in Afghanistan, Thailand, Taiwan en de VS te automatiseren. De ontdekking is gebaseerd op een open directory (“112.213.124(.)132”) waarvan is vastgesteld dat deze identieke HTTP-headervingerafdrukken deelt met de bekende TencShell command-and-control (C2)-infrastructuur.

“Ze behandelden de redenering voor bypass-technieken, herwerkten exploits na mislukte pogingen en bouwden de phishing-pagina’s die werden gebruikt om inloggegevens te verzamelen”, aldus het bedrijf voor bedreigingsinformatie.

“Claude Code fungeert als de uitvoeringsmachine en beheert het gebruik van agentische tools, de uitvoering van bash-opdrachten, sessiepersistentie en taakparallellisatie. DeepSeek-v4-pro fungeert als het onderliggende redeneringsmodel en verzorgt de aanvalslogica, het genereren van scripts en de besluitvorming. Kortom, offensieve logica wordt via een Chinese binnenlandse LLM geleid terwijl gebruik wordt gemaakt van de agentische uitvoeringsinfrastructuur van Anthropic.”

Thijs Van der Does