De dreigingsacteur die bekend staat als Space Pirates is gekoppeld aan een kwaadwillende campagne gericht op Russische informatietechnologie (IT) organisaties met een eerder zonder papieren malware genaamd LuckyStrike Agent.
De activiteit werd gedetecteerd in november 2024 door Solar, de cybersecurity-arm van de Russische staatsbedrijven Telecom Company Rostelecom. Het volgt de activiteit onder de naam Erudite Mogwai.
De aanvallen worden ook gekenmerkt door het gebruik van andere tools zoals akte rat, ook wel ShadowPad Light genoemd, en een aangepaste versie van proxy-hulpprogramma genaamd Stowaway, die eerder is gebruikt door andere China-gekoppelde hackingsgroepen.
“Erudiet Mogwai is een van de actieve APT -groepen die gespecialiseerd zijn in de diefstal van vertrouwelijke informatie en spionage,” zeiden Solar -onderzoekers. “Sinds ten minste 2017 valt de groep overheidsinstanties aan, IT-afdelingen van verschillende organisaties, evenals ondernemingen met betrekking tot hightech-industrieën zoals ruimtevaart en elektrische stroom.”
De dreigingsacteur werd voor het eerst publiekelijk gedocumenteerd door positieve technologieën in 2022, met details over het exclusieve gebruik van de akte rattenmalware. De groep wordt verondersteld tactische overlappingen te delen met een andere hackgroep genaamd Webworm. Het is bekend dat het zich richt op organisaties in Rusland, Georgia en Mongolië.
In een van de aanvallen op een klant van een overheidssector zei Solar dat het de aanvaller ontdekte die verschillende tools inzet om verkenning te vergemakkelijken, terwijl hij ook LuckyStrike Agent, een multifunctionele .NET-achterdoor, die Microsoft OneDrive gebruikt voor command-and-control (C2) gebruikt.
“De aanvallers kregen toegang tot de infrastructuur door uiterlijk maart 2023 een openbaar toegankelijke webservice in gevaar te brengen en begonnen vervolgens te zoeken naar ‘laaghangend fruit’ in de infrastructuur,” zei Solar. “In de loop van 19 maanden verspreidden de aanvallers zich langzaam over de systemen van de klant totdat ze de netwerksegmenten bereikten die in november 2024 waren verbonden met monitoring.”
Ook opmerkelijk is het gebruik van een gewijzigde versie van Stowaway om alleen de proxy -functionaliteit te behouden, naast het gebruik van LZ4 als een compressie -algoritme, met XXTEA als een coderingsalgoritme en ondersteuning toevoegen voor het quic transportprotocol.
“Erudiet Mogwai begon hun reis bij het aanpassen van dit hulpprogramma door de functionaliteit te verminderen die ze niet nodig hadden,” zei Solar. “Ze gingen door met kleine bewerkingen, zoals het hernoemen van functies en het wijzigen van de maten van structuren (waarschijnlijk om bestaande detectiesignaturen te verslaan). Op dit moment kan de door deze groep gebruikte versie van de voorraad een volwaardige vork worden genoemd.”
