De bedreigingsacteur bekend als Draken adem Er is waargenomen dat gebruik werd gemaakt van een meertrapslader met de codenaam RONINGLOADER om een aangepaste variant van een trojan voor externe toegang te leveren, genaamd Gh0st RAT.
Volgens Elastic Security Labs maakt de campagne, die voornamelijk gericht is op Chineessprekende gebruikers, gebruik van trojanized NSIS-installatieprogramma’s die zich voordoen als legitiem, zoals Google Chrome en Microsoft Teams.
“De infectieketen maakt gebruik van een uit meerdere fasen bestaand leveringsmechanisme dat gebruik maakt van verschillende ontwijkingstechnieken, met veel redundanties gericht op het neutraliseren van eindpuntbeveiligingsproducten die populair zijn op de Chinese markt”, aldus beveiligingsonderzoekers Jia Yu Chan en Salim Bitam. “Deze omvatten het meebrengen van een legitiem ondertekend stuurprogramma, het implementeren van aangepast WDAC-beleid en het knoeien met het binaire bestand van Microsoft Defender door middel van PPL-misbruik (Protected Process Light).
Dragon Breath, ook bekend als APT-Q-27 en Golden Eye, werd eerder in mei 2023 door Sophos benadrukt in verband met een campagne die gebruik maakte van een techniek genaamd double-dip DLL side-loading bij aanvallen gericht op gebruikers in de Filippijnen, Japan, Taiwan, Singapore, Hong Kong en China.
De hackgroep, die naar schatting al sinds 2020 actief is, is gekoppeld aan een grotere Chineessprekende entiteit, gevolgd als Miuuti Group, die bekend staat om het aanvallen van de online gaming- en gokindustrie.
In de nieuwste campagne gedocumenteerd door Elastic Security Labs fungeren de kwaadaardige NSIS-installatieprogramma’s voor vertrouwde applicaties als een startpunt voor nog twee ingebedde NSIS-installatieprogramma’s, waarvan er één (“letsvpnlatest.exe”) goedaardig is en de legitieme software installeert. Het tweede NSIS-binaire bestand (“Snieoatwtregoable.exe”) is verantwoordelijk voor het heimelijk activeren van de aanvalsketen.
Dit omvat het leveren van een DLL en een gecodeerd bestand (“tp.png”), waarbij de eerste wordt gebruikt om de inhoud van de veronderstelde PNG-afbeelding te lezen en shellcode te extraheren die is ontworpen om een ander binair bestand in het geheugen te starten.
RONINGLOADER probeert niet alleen eventuele haken in het gebruikersland te verwijderen door een nieuwe nieuwe “ntdll.dll” te laden, maar probeert ook zijn privileges te verhogen door de opdracht runas te gebruiken en scant een lijst met actieve processen op hardgecodeerde antivirus-gerelateerde oplossingen, zoals Microsoft Defender Antivirus, Kingsoft Internet Security, Tencent PC Manager en Qihoo 360 Total Security.
De malware gaat vervolgens verder met het beëindigen van de geïdentificeerde processen. Als het geïdentificeerde proces verband houdt met Qihoo 360 Total Security (bijvoorbeeld “360tray.exe”, “360Safe.exe” of “ZhuDongFangYu.exe”), is er een andere aanpak nodig. Deze stap omvat de volgende reeks acties:
- Blokkeer alle netwerkcommunicatie door de firewall te wijzigen
- Injecteer shellcode in het proces (vssvc.exe) dat is gekoppeld aan de Volume Shadow Copy-service (VSS), maar niet voordat het zichzelf het SeDebugPrivilege-token heeft toegekend
- Start de VSS-service en haal de proces-ID op
- Injecteer shellcode in het VSS-serviceproces met behulp van de techniek genaamd PoolParty
- Laad en gebruik een ondertekend stuurprogramma genaamd “ollama.sys” om de drie processen te beëindigen door middel van een tijdelijke service genaamd “xererre1”
- Herstel de firewallinstellingen
Voor andere beveiligingsprocessen schrijft de lader het stuurprogramma rechtstreeks naar schijf en creëert een tijdelijke service genaamd “ollama” om het stuurprogramma te laden, procesbeëindiging uit te voeren en de service te stoppen en te verwijderen.
Zodra alle beveiligingsprocessen op de geïnfecteerde host zijn uitgeschakeld, voert RONINGLOADER batchscripts uit om Gebruikersaccountbeheer (UAC) te omzeilen en firewallregels te creëren om inkomende en uitgaande verbindingen te blokkeren die verband houden met Qihoo 360-beveiligingssoftware.
De malware is ook waargenomen met behulp van twee technieken die eerder dit jaar werden gedocumenteerd door beveiligingsonderzoeker Zero Salarium, waarbij misbruik wordt gemaakt van PPL en het Windows Error Reporting (“WerFaultSecure.exe”) systeem (ook bekend als EDR-Freeze) om Microsoft Defender Antivirus uit te schakelen. Bovendien richt het zich op Windows Defender Application Control (WDAC) door een kwaadaardig beleid te schrijven dat expliciet de Chinese beveiligingsleveranciers Qihoo 360 Total Security en Huorong Security blokkeert.
Het uiteindelijke doel van de lader is om een frauduleuze DLL te injecteren in “regsvr32.exe”, een legitiem Windows-binair bestand, om de activiteit ervan te verbergen en een volgende fase van de payload te starten in een ander legitiem systeemproces met hoge bevoegdheden, zoals “TrustedInstaller.exe” of “elevation_service.exe.” De laatste malware die wordt ingezet is een aangepaste versie van Gh0st RAT.
De Trojan is ontworpen om te communiceren met een externe server om aanvullende instructies op te halen waarmee deze Windows-registersleutels kan configureren, Windows-gebeurtenislogboeken kan wissen, bestanden kan downloaden en uitvoeren vanaf de opgegeven URL’s, klembordgegevens kan wijzigen, opdrachten kan uitvoeren via “cmd.exe”, shellcode kan injecteren in “svchost.exe” en payloads kan uitvoeren die op schijf zijn geplaatst. De variant implementeert ook een module die toetsaanslagen, klembordinhoud en titels van vensters op de voorgrond vastlegt.
Merkimitatiecampagnes richten zich op Chinese sprekers met Gh0st RAT
De onthulling komt op het moment dat Palo Alto Networks Unit 42 zei dat het twee onderling verbonden malwarecampagnes had geïdentificeerd die gebruik maakten van “grootschalige merknabootsing” om Gh0st RAT aan Chineessprekende gebruikers te leveren. De activiteit is niet toegeschreven aan een bekende dreigingsactoren of -groep.
Terwijl de eerste campagne – genaamd Campaign Trio – plaatsvond tussen februari en maart 2025 door i4tools, Youdao en DeepSeek na te bootsen op meer dan 2.000 domeinen, zou de tweede campagne, ontdekt in mei 2025, geavanceerder zijn geweest en meer dan 40 applicaties nabootsen, waaronder QQ Music en de Sogou-browser. De tweede golf heeft de codenaam Campaign Chorus gekregen.
“Van de eerste campagne tot de tweede evolueerde de tegenstander van eenvoudige droppers naar complexe, meerfasige infectieketens die legitieme, ondertekende software misbruiken om moderne verdedigingsmechanismen te omzeilen”, aldus beveiligingsonderzoekers Keerthiraj Nagaraj, Vishwa Thothathri, Nabeel Mohamed en Reethika Ramesh.
Het is gebleken dat de domeinen ZIP-archieven hosten die de door trojans beveiligde installatieprogramma’s bevatten, wat uiteindelijk de weg vrijmaakt voor de implementatie van Gh0st RAT. De tweede campagne maakt echter niet alleen gebruik van meer softwareprogramma’s als lokmiddel om een bredere demografische groep Chineessprekenden te bereiken, maar maakt ook gebruik van een “ingewikkelde en ongrijpbare” infectieketen waarbij gebruik wordt gemaakt van tussenliggende omleidingsdomeinen om de ZIP-archieven op te halen uit publieke cloudservicebuckets.
Door dit te doen kan de aanpak netwerkfilters omzeilen die verkeer van onbekende domeinen kunnen blokkeren, om nog maar te zwijgen van de operationele veerkracht van de dreigingsactor. Het MSI-installatieprogramma voert in dit geval ook een ingebed Visual Basic-script uit dat verantwoordelijk is voor het decoderen en starten van de uiteindelijke payload door middel van DLL-side-loading.
“De parallelle werking van zowel oude als nieuwe infrastructuur door middel van aanhoudende activiteit suggereert een operatie die niet alleen evolueert, maar bestaat uit meerdere infrastructuren en verschillende toolsets tegelijkertijd”, aldus de onderzoekers. “Dit zou kunnen duiden op A/B-testen van TTP’s, gericht op verschillende slachtoffergroepen met verschillende niveaus van complexiteit, of eenvoudigweg op een kosteneffectieve strategie om oudere activa te blijven benutten zolang ze effectief blijven.”
