Een Chineessprekende APT-actor (Advanced Persistent Threat) is gekoppeld aan een nieuwe aangepaste achterdeur genaamd TinyRCT als onderdeel van cyberaanvallen gericht op overheidsinstanties en kritieke infrastructuur in Zuidoost-Azië.
De activiteit, met name gericht op staatsbedrijven in de energie- en overheidssector, wordt toegeschreven aan een zogenaamde dreigingsacteur CL-STA-1062waarvan Palo Alto Networks Unit 42 zei dat het overlapt met UAT-7237, een hackgroep die voor het eerst werd opgemerkt door Cisco Talos in augustus 2025 in verband met een campagne gericht tegen webinfrastructuurentiteiten in Taiwan.
Eenheid 42 zei dat het sinds maart 2022 ook CL-STA-1062-campagnes observeerde tijdens eerdere operaties gericht op strategische sectoren in Oost-Azië, wat duidt op een bredere maar aanhoudende focus in de regio.
“Vanuit technisch oogpunt vertrouwen de aanvallers achter CL-STA-1062 op een hybride toolkit”, zegt Unit 42 in een technisch rapport. “Hoewel ze regelmatig gebruik maken van gewone open-source tools zoals SoftEther VPN, Mimikatz en VNT, hebben ze onlangs TinyRCT geïntroduceerd, een op maat gemaakte, voorheen ongedocumenteerde achterdeur.”
TinyRCT is uitgerust om willekeurige opdrachten uit te voeren, bestanden op te sommen en te exfiltreren, het scherm van het apparaat vast te leggen en zichzelf van de gecompromitteerde host te verwijderen.
In één campagne die in september 2025 werd gedetecteerd, zou de bedreigingsacteur een Zuidoost-Aziatische overheidsinstantie hebben geïnfiltreerd en een webshell hebben ingezet om gegevens van een MS SQL-server te exfiltreren. Tijdens dezelfde aanval bleek dat de dreigingsactoren netwerkverkenningen uitvoerden op een afzonderlijke overheidsinstantie in hetzelfde land.
“Dit duidt op een poging om mogelijkheden voor laterale beweging te identificeren en de toegang ervan te verbreden. In één geval hebben we gezien dat de aanvaller een hele map met webserverbroncode van de overheidsinstantie heeft geënsceneerd en geëxfiltreerd”, aldus Unit 42, eraan toevoegend dat het de inbreuk van ten minste tien verschillende organisaties in Zuidoost-Azië tussen oktober en december 2025 heeft gedetecteerd.
Sinds ten minste medio 2025 heeft CL-STA-1062 zijn blik gericht op de kritieke infrastructuur, waarbij de tegenstander meerdere entiteiten in de regio scant op kwetsbaarheden en vervolgens voet aan de grond krijgt via ASPX-webshells die initiële verkenningen en uitgaande verzoeken van de geïnfecteerde netwerken naar de door de aanvaller gecontroleerde infrastructuur vergemakkelijken, wat leidt tot de inzet van extra payloads.
Dit omvat SoftEther VPN-componenten en RAR-archieven die de toolset van de groep bevatten, inclusief open-source hulpprogramma’s zoals Yuze (een SOCKS5-proxy) en VNT (een VPN), vaak vermomd als VMware-uitvoerbare bestanden of een XDR-agent (bijv. “XDRAgent.exe”, “vmtools.exe” en “vmwared.exe”).
Verdere analyse van de infrastructuur van de campagne heeft geleid tot de ontdekking van een voorheen ongedocumenteerde .NET-backdoor genaamd TinyRCT (“PerfWatson2.exe”), een lichtgewicht trojan voor externe toegang die systeemverkenning, opdrachtuitvoering, bestandsuploads, screenshot-opname, afstandsbediening en het wissen van sporen van zichzelf mogelijk maakt, terwijl stappen worden ondernomen om te voorkomen dat deze in sandbox-omgevingen wordt uitgevoerd.
Het brengt een permanent communicatiekanaal tot stand met een externe server (“45.32.113(.)172”) via HTTP, maar codeert de uitgewisselde gegevens met behulp van AES-128-codering in CBC-modus.
“De malware werkt volgens een beaconing-model, met een standaard slaapinterval van 10 seconden tussen verzoeken”, legt Unit 42 uit. “Het vraagt de C2-server om instructies met behulp van GET-verzoeken, terwijl het geëxfiltreerde gegevens verzendt via POST-verzoeken.”
Wat betreft de manier waarop TinyRCT wordt geleverd, het neemt de vorm aan van een kwaadaardig archief genaamd “chrome_setup.zip” met daarin een legitiem uitvoerbaar bestand (“chrome_setup.exe”), een configuratiebestand (“chrome_setup.exe.config”) en een frauduleuze DLL (“MyAppDomainManager.dll”) dat wordt gebruikt om een AppDomainManager-injectieaanval te activeren om de kwaadaardige DLL te laden, die functioneert als een downloader door contact op te nemen met “139.180.134(.)221” om “PerfWatson2.exe” op te halen.
“De combinatie van instrumenten die in dit activiteitencluster wordt waargenomen, weerspiegelt een pragmatische benadering van gereedschapsselectie en aanvalsmogelijkheden”, concludeerde Unit 42. “De aanvallers achter dit cluster blijven gebruik maken van gemeenschappelijke open-source tools zoals SoftEther VPN en VNT om zijwaartse beweging te vergemakkelijken.”
“Onze ontdekking van de TinyRCT-achterdeur in de infrastructuur van de aanvallers onderstreept hun vermogen om tools aan te passen om specifieke mogelijkheden te verkrijgen. De combinatie van het richten op kritieke infrastructuur en de ontwikkeling van aangepaste malware suggereert dat CL-STA-1062-activiteit een bedreiging zal blijven vormen voor de regio.”
