De dreigingsactor die bekendstaat als Patchwork wordt in verband gebracht met een cyberaanval die gericht was op entiteiten met banden met Bhutan. De aanval was bedoeld om het Brute Ratel C4-framework en een bijgewerkte versie van een backdoor genaamd PGoShell te leveren.
Het is de eerste keer dat is waargenomen dat de tegenstander de red teaming-software gebruikt, aldus het Knownsec 404 Team in een vorige week gepubliceerde analyse.
De activiteitencluster, ook wel APT-C-09, Dropping Elephant, Operation Hangover, Viceroy Tiger en Zinc Emerson genoemd, is een door de staat gesponsorde actor die waarschijnlijk van Indiase afkomst is.
De hackersgroep staat bekend om het uitvoeren van spear-phishing- en watering hole-aanvallen op China en Pakistan. Volgens gegevens van het Chinese cybersecuritybedrijf QiAnXin zou de groep al sinds 2009 actief zijn.
Afgelopen juli maakte Knownsec 404 details bekend over een spionagecampagne gericht op universiteiten en onderzoeksorganisaties in China. Hierbij werd gebruikgemaakt van een .NET-gebaseerd implantaat met de codenaam EyeShell om opdrachten op te halen en uit te voeren van een door aanvallers gecontroleerde server, extra payloads uit te voeren en schermafbeeldingen te maken.
Eerder deze februari werd ontdekt dat de dader romantische lokmiddelen had gebruikt om slachtoffers in Pakistan en India te lokken en hun Android-apparaten te hacken met een trojan voor externe toegang met de naam VajraSpy.
Het startpunt van de laatst waargenomen aanvalsketen is een Windows-snelkoppelingsbestand (LNK) dat is ontworpen om een nep-PDF-document te downloaden van een extern domein dat zich voordoet als het door de UNFCCC gesteunde Adaptation Fund, terwijl heimelijk Brute Ratel C4 en PGoShell worden geïmplementeerd die zijn opgehaald van een ander domein (“beijingtv(.)org”).
“PGoShell is ontwikkeld in de programmeertaal Go. Het biedt een uitgebreide reeks functionaliteiten, waaronder mogelijkheden voor een externe shell, schermopname en het downloaden en uitvoeren van payloads”, aldus het cybersecuritybedrijf.
De ontwikkeling vindt plaats maanden nadat APT-K-47 – een andere dreigingsactor die tactische overlappingen deelt met SideWinder, Patchwork, Confucius en Bitter – werd toegeschreven aan aanvallen waarbij gebruik werd gemaakt van ORPCBackdoor en eerder niet-gedocumenteerde malware zoals WalkerShell, DemoTrySpy en NixBackdoor om gegevens te verzamelen en shellcode uit te voeren.
De aanvallen staan ook bekend om de inzet van een open-source command-and-control (C2) framework dat bekendstaat als Nimbo-C2, dat “een breed scala aan functionaliteiten voor bediening op afstand mogelijk maakt”, aldus Knownsec 404.
