De China-gekoppelde dreigingsacteur die bekend staat als UNC5174 is toegeschreven aan een nieuwe campagne die een variant van een bekende malware-genaamd Snowlight en een nieuwe open-source tool genaamd Vshell gebruikt om Linux-systemen te infecteren.
“Bedreigingsactoren gebruiken in toenemende mate open source-instrumenten in hun arsenalen voor kosteneffectiviteit en obfuscatie om geld te besparen en in dit geval plausibel op te gaan in de pool van niet-status gesponsorde en vaak minder technische tegenstanders (bijv. Script Kiddies), waardoor de toeschrijving nog moeilijker wordt,” SysDig Researcher Alessandra Rizzo zei in een hacker nieuws.
“Dit lijkt vooral te gelden voor deze specifieke dreigingsacteur, die het afgelopen jaar onder de radar staat sinds hij is aangesloten bij de Chinese regering.”
UNC5174, ook wel UTEUS (of UETUS) genoemd, werd eerder gedocumenteerd door Google-eigendom Mandiant als exploitatie van beveiligingsfouten in Connectise ScreenConnect en F5 Big-IP-software om een C-gebaseerde Elf-downloader te leveren met de naam Snowlight, die is ontworpen om een Golang-tunneler te laten neuken van infrastructuur van infrastructuur die bekend is als een openbare beschikbare bevoegdheid (C2) Supershell.
Ook in de aanvallen werd Gorverse geïmplementeerd, een openbaar beschikbare omgekeerde shell achterdoor geschreven in Golang die via Secure Shell (SSH) werkt.
Het Franse nationale agentschap voor de beveiliging van informatiesystemen (ANSSI), in haar cyberdreigingsoverzicht voor 2024 gepubliceerd vorige maand, zei dat het een aanvaller zag die soortgelijke handel gebruikte als die van UNC5174 om beveiligingsfouts te wapens in Ivanti Cloud Service Appliance (CSA) zoals CVE-2024-8963, CVE-2024-9380, en CVE-2024-9380, CVE-200, en CVE-2024-9380, CVE-200, en CVE-2024-9380, en CVE-2010, CVE-200, en CVE-2010, en willekeurige code uitvoeren.
“Matig geavanceerd en discreet, deze inbraakset wordt gekenmerkt door het gebruik van inbraaktools die grotendeels beschikbaar zijn als open source en door – al publiekelijk gemeld – gebruik van een Rootkit -code,” zei de ANSSI.
Het is vermeldenswaard dat zowel Snowlight als Vshell in staat zijn om Apple MacOS-systemen te richten, waarbij de laatste verdeeld als een nep-cloudflare authenticator-toepassing als onderdeel van een tot nu toe onderstelde aanvalsketen, volgens een analyse van artefacten geüpload naar Virustotal uit China.
In de aanvalsketen waargenomen door Sysdig eind januari 2025, fungeert de Snowlight-malware als een druppelaar voor een Fileless, in-memory payload genaamd Vshell, een externe toegang Trojan (rat) die veel worden gebruikt door Chinees sprekende cybercriminalen. De initiële toegangsvector die voor de aanval wordt gebruikt, is momenteel onbekend.
In het bijzonder wordt de eerste toegang gebruikt om een kwaadaardig bash -script uit te voeren (“download_backd.sh”) dat twee binaries implementeert die verband houden met Snowlight (DNSLoger) en Sliver (System_Worker), die beide worden gebruikt om persistentie op te zetten en communicatie op te zetten met een C2 -server.
De laatste fase van de aanval levert VShell via Snowlight door middel van een speciaal vervaardigd verzoek aan de C2-server, waardoor externe controle en verdere post-compromissexploitatie mogelijk worden.
“(Vshell) fungeert als een rat (externe toegang Trojan), waardoor zijn misbruikers willekeurige opdrachten kunnen uitvoeren en bestanden kunnen downloaden of uploaden,” zei Rizzo. “Snowlight en Vshell vormen een aanzienlijk risico voor organisaties vanwege hun heimelijke en verfijnde technieken,” zei Sysdig. “Dit wordt bewezen door de inzet van websockets voor command-and-control, evenals de Fileless Vshell-lading.”
De openbaarmaking komt toen TeamT5 onthulde dat een hackinggroep van China-Nexus waarschijnlijk beveiligingsfouten heeft benut in Ivanti-apparaten (CVE-2025-0282 en CVE-2025-22457) om initiële toegang te krijgen en de Spawnchimera-malware te implementeren.
De aanvallen, zei het Taiwanese cybersecuritybedrijf, gericht op een veelvoud van sectoren die bijna 20 verschillende landen omvatten, zoals Oostenrijk, Australië, Frankrijk, Spanje, Japan, Zuid -Korea, Nederland, Singapore, Taiwan, de Verenigde Arabische Emiraten, het Verenigd Koninkrijk en de Verenigde Staten.
De bevindingen komen ook aan bij de beschuldigingen van China dat het US National Security Agency (NSA) “geavanceerde” cyberaanvallen lanceerde tijdens de Aziatische Winterspelen in februari, wijzend op vingers op drie NSA -agenten voor herhaalde aanvallen op de kritieke informatie -infrastructuur en tegen Huawei.
“Tijdens de negende Aziatische Winterspelen heeft de Amerikaanse regering cyberaanvallen uitgevoerd op de informatiesystemen van de games en de kritieke informatie -infrastructuur in Heilongjiang,” zei woordvoerder van het ministerie van Buitenlandse Zaken Lin Jian. “Deze stap is ernstig omdat het de veiligheid van China’s kritische informatie -infrastructuur, nationale defensie, financiën, samenleving en productie, evenals de persoonlijke informatie van de burgers, ernstig in gevaar brengt.”
