De Tibetaanse gemeenschap is het doelwit van een China-Nexus Cyber Espionage Group als onderdeel van twee campagnes die vorige maand vóór de 90e verjaardag van de Dalai Lama op 6 juli 2025 werden uitgevoerd.
De multi-fase aanvallen zijn gecodeerd Operatie Ghostchat En Operatie Fantomprayers door ZScaler Threatlabz.
“De aanvallers hebben een legitieme website gecompromitteerd, gebruikers omleiden via een kwaadwillende link en uiteindelijk de GH0st Rat of Phantomnet (AKA Smanager) achterdeur op slachtoffersystemen installeren”, zeiden beveiligingsonderzoekers Sudeep Singh en Roy Tay in een woensdagrapport.
Dit is niet de eerste keer dat Chinese dreigingsacteurs hun toevlucht hebben genomen tot drinkaanvallen (aka strategisch webcompromissen), een techniek waarbij tegenstanders breken in websites die vaak door een specifieke groep worden bezocht om hun apparaten met malware te infecteren.
In de afgelopen twee jaar hebben hackgroepen zoals Evilbamboo, Devasive Panda en TAG-112 allemaal hun toevlucht genomen tot de aanpak om de Tibetaanse diaspora te richten met het uiteindelijke doel om gevoelige informatie te verzamelen.
De nieuwste set aanvallen die door ZScaler worden waargenomen, houdt het compromis van een webpagina in om de link te vervangen die wijst op “Tibetfund (.) Org/90thbirthday” met een frauduleuze versie (“thedalailamama90.niccenter (.) Net”).
Terwijl de originele webpagina is ontworpen om een bericht naar de Dalai Lama te sturen, voegt de replica -pagina een optie toe om een gecodeerd bericht naar de spirituele leider te sturen door te downloaden van “tBelement.niccenter (.) Net” Een veilige chat -applicatie genaamd Telement, die beweert Tibetaanse versie van element te zijn.
Gehost op de website is een achterdeurversie van de open-source gecodeerde chatsoftware met een kwaadwillende DLL die is opzij om GH0st Rat te lanceren, een externe toegang Trojan die veel wordt gebruikt door verschillende Chinese hackgroepen. De webpagina bevat ook JavaScript-code die is ontworpen om het IP-adres van de bezoeker en de gebruikersagentinformatie te verzamelen, en de details aan de dreigingsacteur te exfiltreren via een HTTP-postverzoek.
GH0st Rat is een volledig getroffen malware die bestandsmanipulatie, schermopname, clipboard-inhoud extractie, webcam video-opname, keylogging, audio-opname en afspeel, procesmanipulatie en externe shell ondersteunt.
The second campaign, Operation PhantomPrayers, has been found to leverage another domain, “hhthedalailama90.niccenter(.)net,” to distribute a phony “90th Birthday Global Check-in” app (“DalaiLamaCheckin.exe,” dubbed PhantomPrayers) that, when opened, displays an interactive map and urges victims to “send your blessings” for the Dalai Lama by tapping hun locatie op de kaart.
De kwaadaardige functionaliteit wordt echter heimelijk geactiveerd op de achtergrond, met behulp van DLL-side-loadingtechnieken om Phantomnet te lanceren, een achterdeur die contact maakt met een command-and-control (C2) -server via TCP om extra plug-in-DLL’s te ontvangen voor uitvoering op de gecompromitteerde machine.
“Phantomnet kan worden ingesteld om alleen tijdens specifieke uren of dagen te werken, maar deze mogelijkheid is niet ingeschakeld in de huidige steekproef,” zeiden de onderzoekers. “Phantomnet gebruikte modulaire plug-in DLL’s, AES-gecodeerd C2-verkeer en configureerbare getimede bewerkingen, om heimelijk gecompromitteerde systemen te beheren.”
