Een aan China verbonden dreigingsacteur met de codenaam UTA0388 wordt toegeschreven aan een reeks spearphishing-campagnes gericht op Noord-Amerika, Azië en Europa die zijn ontworpen om een op Go gebaseerd implantaat te leveren dat bekend staat als GOVERSHELL.
“De aanvankelijk waargenomen campagnes waren afgestemd op de doelen, en de berichten zouden afkomstig zijn van senior onderzoekers en analisten van legitiem klinkende, volledig verzonnen organisaties”, aldus Volexity in een rapport van woensdag. “Het doel van deze spearphishing-campagnes was om doelen sociaal te manipuleren om op links te klikken die leidden naar een op afstand gehost archief met daarin een kwaadaardige lading.”
Sindsdien zou de dreigingsactor achter de aanvallen gebruik hebben gemaakt van verschillende lokmiddelen en fictieve identiteiten, verspreid over verschillende talen, waaronder Engels, Chinees, Japans, Frans en Duits.
Uit eerdere herhalingen van de campagnes is gebleken dat ze in sommige gevallen links bevatten naar phishing-inhoud die wordt gehost op een cloudgebaseerde dienst of op hun eigen infrastructuur, wat leidde tot de inzet van malware. De vervolggolven worden echter beschreven als ‘zeer op maat gemaakt’, waarbij de dreigingsactoren hun toevlucht nemen tot het opbouwen van vertrouwen bij de ontvangers voordat ze de link versturen – een techniek die rapport-building phishing wordt genoemd.
Ongeacht de gebruikte aanpak leiden de links naar een ZIP- of RAR-archief dat een frauduleuze DLL-payload bevat die wordt gelanceerd met behulp van DLL-side-loading. De lading is een actief ontwikkelde achterdeur genaamd GOVERSHELL. Het is vermeldenswaard dat de activiteit overlapt met een cluster dat door Proofpoint wordt gevolgd onder de naam UNK_DropPitch, waarbij Volexity GOVERSHELL karakteriseert als een opvolger van een C++-malwarefamilie die wordt aangeduid als GezondheidKick.
Er zijn tot nu toe maar liefst vijf verschillende varianten van GOVERSHELL geïdentificeerd:
- GezondheidKick (Voor het eerst waargenomen in april 2025), dat is uitgerust om opdrachten uit te voeren met behulp van cmd.exe
- TE32 (Voor het eerst waargenomen in juni 2025), dat is uitgerust om opdrachten rechtstreeks uit te voeren via een PowerShell reverse shell
- TE64 (Voor het eerst waargenomen begin juli 2025), dat is uitgerust om native en dynamische opdrachten uit te voeren met behulp van PowerShell om systeeminformatie en de huidige systeemtijd te verkrijgen, opdrachten uit te voeren via powershell.exe en een externe server te vragen naar nieuwe instructies
- WebSocket (Voor het eerst waargenomen medio juli 2025), dat is uitgerust om een PowerShell-opdracht uit te voeren via powershell.exe en een niet-geïmplementeerde “update”-subopdracht als onderdeel van de systeemopdracht
- Baken (Voor het eerst waargenomen in september 2025), dat is uitgerust om native en dynamische opdrachten uit te voeren met behulp van PowerShell om een basis polling-interval in te stellen, dit willekeurig te maken of een PowerShell-opdracht uit te voeren via powershell.exe
Enkele van de legitieme diensten die worden misbruikt om de archiefbestanden te ensceneren zijn onder meer Netlify, Sync en OneDrive, terwijl is vastgesteld dat de e-mailberichten zijn verzonden vanuit Proton Mail, Microsoft Outlook en Gmail.
Een opmerkelijk aspect van het vakmanschap van UTA0388 is het gebruik van OpenAI ChatGPT om inhoud voor phishing-campagnes te genereren in het Engels, Chinees en Japans; helpen bij kwaadaardige workflows; en zoek naar informatie over het installeren van open-sourcetools zoals kernen en fscan, zoals eerder deze week door het AI-bedrijf werd onthuld. De ChatGPT-accounts die door de bedreigingsacteur worden gebruikt, zijn sindsdien verboden.
Het gebruik van een groot taalmodel (LLM) om de activiteiten uit te breiden blijkt uit de verzinsels die voorkomen in de phishing-e-mails, variërend van de persona’s die worden gebruikt om het bericht te verzenden tot het algemene gebrek aan samenhang in de berichtinhoud zelf, aldus Volexity.
“Het targetingprofiel van de campagne komt overeen met een dreigingsacteur die geïnteresseerd is in Aziatische geopolitieke kwesties, met een speciale focus op Taiwan”, voegde het bedrijf eraan toe. “De e-mails en bestanden die in deze campagne zijn gebruikt, leiden Volexity ertoe om met gemiddeld vertrouwen te beoordelen dat UTA0388 gebruik maakte van automatisering, LLM of anderszins, die deze inhoud genereerde en naar doelen stuurde met in sommige gevallen weinig tot geen menselijk toezicht.”
De onthulling komt op het moment dat StrikeReady Labs zei dat een vermoedelijke aan China gelinkte cyberspionagecampagne zich heeft gericht op een Servische overheidsafdeling die verband houdt met de luchtvaart, evenals op andere Europese instellingen in Hongarije, België, Italië en Nederland.
De campagne, die eind september werd waargenomen, omvat het verzenden van phishing-e-mails met een link die, wanneer erop wordt geklikt, het slachtoffer naar een valse Cloudflare CAPTCHA-verificatiepagina leidt die leidt naar het downloaden van een ZIP-archief, waarin zich een Windows-snelkoppelingsbestand (LNK) bevindt dat PowerShell uitvoert, verantwoordelijk voor het openen van een lokdocument en het heimelijk starten van PlugX met behulp van DLL-side-loading.
