Cyberspionagegroepen die banden hebben met China zijn in verband gebracht met een langlopende campagne die in ieder geval sinds 2021 verschillende telecomoperatoren in één enkel Aziatisch land heeft geïnfiltreerd.
“De aanvallers plaatsten achterdeurtjes op de netwerken van bedrijven die het doelwit waren en probeerden ook inloggegevens te stelen”, zegt het Symantec Threat Hunter Team, onderdeel van Broadcom, in een rapport gedeeld met The Hacker News.
Het cyberbeveiligingsbedrijf heeft het land dat het doelwit was niet bekendgemaakt, maar zei dat het bewijs heeft gevonden dat erop wijst dat de kwaadaardige cyberactiviteit mogelijk al in 2020 is begonnen.
De aanvallen waren ook gericht tegen een niet bij naam genoemd dienstenbedrijf dat zich richtte op de telecomsector en een universiteit in een ander Aziatisch land, voegde het eraan toe.
De keuze van de tools die in deze campagne worden gebruikt, overlapt met andere missies die de afgelopen jaren zijn uitgevoerd door Chinese spionagegroepen zoals Mustang Panda (ook bekend als Earth Preta en Fireant), RedFoxtrot (ook bekend als Needleminer en Nomad Panda) en Naikon (ook bekend als Firefly).
Dit omvat aangepaste achterdeuren die worden bijgehouden als COOLCLIENT, QUICKHEAL en RainyDay en die zijn uitgerust met mogelijkheden om gevoelige gegevens vast te leggen en communicatie tot stand te brengen met een command-and-control (C2)-server.
Hoewel het exacte initiële toegangspad dat wordt gebruikt om de doelen te doorbreken momenteel onbekend is, valt de campagne ook op door het inzetten van poortscantools en het plegen van diefstal van inloggegevens door het dumpen van Windows-registerbijenkorven.
Het feit dat de tooling verbindingen heeft met drie verschillende vijandige collectieven heeft verschillende mogelijkheden opgeleverd: de aanvallen worden onafhankelijk van elkaar uitgevoerd, een enkele dreigingsactor gebruikt tools die zijn verkregen van andere groepen, of diverse actoren werken samen aan één enkele campagne.
Ook onduidelijk in dit stadium is het voornaamste motief achter de inbraken, hoewel Chinese dreigingsactoren een geschiedenis hebben van het aanvallen van de telecomsector over de hele wereld.
In november 2023 onthulde Kaspersky een ShadowPad-malwarecampagne gericht op een van de nationale telecombedrijven van Pakistan door misbruik te maken van bekende beveiligingsfouten in Microsoft Exchange Server (CVE-2021-26855 ook bekend als ProxyLogon).
“De aanvallers hebben mogelijk informatie verzameld over de telecomsector in dat land”, opperde Symantec. “Afluisteren is een andere mogelijkheid. Als alternatief hebben de aanvallers mogelijk geprobeerd een ontwrichtende capaciteit op te bouwen tegen de kritieke infrastructuur in dat land.”