Het aan China gekoppelde APT31 lanceert stealthy cyberaanvallen op Russische IT met behulp van cloudservices

Cyberbeveiliging
Het aan China gekoppelde APT31 lanceert stealthy cyberaanvallen op Russische IT met behulp van cloudservices

De aan China gelinkte Advanced Persistent Threat (APT)-groep, bekend als APT31 wordt toegeschreven aan cyberaanvallen gericht op de Russische informatietechnologie (IT)-sector tussen 2024 en 2025, terwijl ze gedurende langere tijd onopgemerkt bleven.

“In de periode van 2024 tot 2025 werd de Russische IT-sector, vooral bedrijven die werkten als aannemers en integratoren van oplossingen voor overheidsinstanties, geconfronteerd met een reeks gerichte computeraanvallen”, aldus Positive Technologies-onderzoekers Daniil Grigoryan en Varvara Koloskova in een technisch rapport.

APT31, ook bekend als Altaire, Bronze Vinewood, Judgment Panda, PerplexedGoblin, RedBravo, Red Keres en Violet Typhoon (voorheen Zirconium), is naar verwachting actief sinds ten minste 2010. Het heeft een track record van het treffen van een breed scala aan sectoren, waaronder overheden, de financiële sector, de lucht- en ruimtevaart en defensie, hightech, bouw en techniek, telecommunicatie, media en verzekeringen.

De cyberspionagegroep richt zich primair op het verzamelen van inlichtingen die Peking en staatsbedrijven politieke, economische en militaire voordelen kunnen bieden. In mei 2025 kreeg de hackersploeg van Tsjechië de schuld voor het aanvallen van het Ministerie van Buitenlandse Zaken.

De aanvallen gericht op Rusland worden gekenmerkt door het gebruik van legitieme clouddiensten, vooral die welke in het land gangbaar zijn, zoals Yandex Cloud, voor command-and-control (C2) en data-exfiltratie in een poging om op te gaan in het normale verkeer en aan detectie te ontsnappen.

De tegenstander zou ook gecodeerde commando’s en payloads hebben geënsceneerd in profielen op sociale media, zowel binnenlands als buitenlands, terwijl hij zijn aanvallen ook uitvoerde tijdens weekends en feestdagen. Bij ten minste één aanval gericht op een IT-bedrijf heeft APT31 al eind 2022 inbreuk gemaakt op zijn netwerk, voordat de activiteit escaleerde die samenviel met de nieuwjaarsvakantie van 2023.

Bij een andere inbraak die in december 2024 werd gedetecteerd, stuurden de bedreigingsactoren een spearphishing-e-mail met daarin een RAR-archief dat op zijn beurt een Windows Shortcut (LNK) bevatte die verantwoordelijk was voor het lanceren van een Cobalt Strike-lader genaamd CloudyLoader via DLL-side-loading. Details van deze activiteit werden eerder gedocumenteerd door Kaspersky in juli 2025, waarbij enkele overlappingen met een dreigingscluster bekend als EastWind werden geïdentificeerd.

Het Russische cyberbeveiligingsbedrijf zei ook dat het een ZIP-archieflokmiddel had geïdentificeerd dat zich voordeed als een rapport van het Ministerie van Buitenlandse Zaken van Peru om uiteindelijk CloudyLoader in te zetten.

Om de volgende fasen van de aanvalscyclus te vergemakkelijken, heeft APT31 gebruik gemaakt van een uitgebreide reeks openbaar beschikbare en op maat gemaakte tools. Doorzettingsvermogen wordt bereikt door geplande taken in te stellen die legitieme applicaties nabootsen, zoals Yandex Disk en Google Chrome. Sommigen van hen staan ​​​​hieronder vermeld –

  • SharpADUserIP, een C#-hulpprogramma voor verkenning en ontdekking
  • SharpChrome.exe, om wachtwoorden en cookies uit Google Chrome en Microsoft Edge-browsers te extraheren
  • SharpDir, om bestanden te zoeken
  • StickyNotesExtract.exe, om gegevens uit de Windows Sticky Notes-database te extraheren
  • Tailscale VPN, om een ​​gecodeerde tunnel te creëren en een peer-to-peer (P2P) netwerk op te zetten tussen de gecompromitteerde host en zijn infrastructuur
  • Microsoft-ontwikkeltunnels, om verkeer te tunnelen
  • Owawa, een kwaadaardige IIS-module voor diefstal van inloggegevens
  • AufTime, een Linux-achterdeur die de wolfSSL-bibliotheek gebruikt om met C2 te communiceren
  • COFFProxy, een Golang-achterdeur die opdrachten ondersteunt voor het tunnelen van verkeer, het uitvoeren van opdrachten, het beheren van bestanden en het leveren van extra payloads
  • VtChatter, een tool die elke twee uur Base64-gecodeerde opmerkingen gebruikt bij een tekstbestand dat op VirusTotal wordt gehost als een tweerichtings C2-kanaal
  • OneDriveDoor, een achterdeur die Microsoft OneDrive als C2 gebruikt
  • LocalPlugX, een variant van PlugX die wordt gebruikt om zich binnen het lokale netwerk te verspreiden, in plaats van om met C2 te communiceren
  • CloudSorcerer, een achterdeur die clouddiensten als C2 gebruikte
  • YaLeak, een .NET-tool om informatie naar Yandex Cloud te uploaden

“APT31 vult zijn arsenaal voortdurend aan: hoewel ze een aantal van hun oude tools blijven gebruiken”, aldus Positive Technologies. “Als C2 maken aanvallers actief gebruik van clouddiensten, in het bijzonder Yandex- en Microsoft OneDrive-diensten. Veel tools zijn ook geconfigureerd om in servermodus te werken, wachtend tot aanvallers verbinding maken met een geïnfecteerde host.”

“Bovendien exfiltreert de groep gegevens via de cloudopslag van Yandex. Dankzij deze tools en technieken kon APT31 jarenlang onopgemerkt blijven in de infrastructuur van slachtoffers. Tegelijkertijd downloadden aanvallers bestanden en verzamelden ze vertrouwelijke informatie van apparaten, waaronder wachtwoorden uit mailboxen en interne diensten van slachtoffers.”

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

CISA waarschuwt voor actief misbruik van een kritieke Zero-Day-kwetsbaarheid in Oracle Identity Manager

Tweede Sha1-Hulud-golf beïnvloedt meer dan 25.000 opslagplaatsen via npm-diefstal van pre-installatiegegevens

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]