Een aan China gelieerde dreigingsacteur wordt toegeschreven aan een cyberaanval gericht op een Amerikaanse non-profitorganisatie met als doel persistentie op de lange termijn tot stand te brengen, als onderdeel van bredere activiteiten gericht op Amerikaanse entiteiten die verbonden zijn met of betrokken zijn bij beleidskwesties.
Volgens een rapport van de Symantec- en Carbon Black-teams van Broadcom is de organisatie “actief in pogingen om het Amerikaanse overheidsbeleid op internationale kwesties te beïnvloeden.” De aanvallers wisten in april 2025 gedurende enkele weken toegang te krijgen tot het netwerk.
Het eerste teken van activiteit vond plaats op 5 april 2025, toen massale scanpogingen op een server werden gedetecteerd door gebruik te maken van verschillende bekende exploits, waaronder CVE-2022-26134 (Atlassian), CVE-2021-44228 (Apache Log4j), CVE-2017-9805 (Apache Struts) en CVE-2017-17562 (GoAhead Web Server).
Er werden geen verdere acties geregistreerd tot 16 april, toen de aanvallen verschillende curl-opdrachten uitvoerden om de internetverbinding te testen, waarna het Windows-opdrachtregelprogramma netstat werd uitgevoerd om netwerkconfiguratie-informatie te verzamelen. Dit werd gevolgd door het instellen van persistentie op de host door middel van een geplande taak.
De taak is ontworpen om een legitiem binair Microsoft-bestand “msbuild.exe” uit te voeren om een onbekende payload uit te voeren, en om een andere geplande taak te maken die is geconfigureerd om elke 60 minuten te worden uitgevoerd als een SYSTEEM-gebruiker met hoge bevoegdheden.
Deze nieuwe taak, zo zeiden Symantec en Carbon Black, was in staat onbekende code in “csc.exe” te laden en te injecteren, wat uiteindelijk de communicatie tot stand bracht met een command-and-control (C2) server (“38.180.83(.)166”). Vervolgens werd waargenomen dat de aanvallers een aangepaste lader uitvoerden om een niet-gespecificeerde payload uit te pakken en uit te voeren, waarschijnlijk een trojan voor externe toegang (RAT) in het geheugen.
Ook werd waargenomen dat de legitieme Vipre AV-component (“vetysafe.exe”) werd uitgevoerd om een DLL-lader (“sbamres.dll”) te sideloaden. Er wordt ook gezegd dat dit onderdeel is gebruikt voor side-loading van DLL in verband met Deed RAT (ook bekend als Snappybee) bij eerdere activiteiten toegeschreven aan Salt Typhoon (ook bekend als Earth Estries), en bij aanvallen toegeschreven aan Earth Longzhi, een subcluster van APT41.
“Een kopie van deze kwaadaardige DLL werd eerder gebruikt bij aanvallen die verband hielden met de in China gevestigde bedreigingsactoren die bekend staan als Space Pirates”, aldus Broadcom. “Een variant van dit onderdeel, met een andere bestandsnaam, werd ook door die Chinese APT-groep Kelp (ook bekend als Salt Typhoon) gebruikt bij een apart incident.”
Enkele van de andere tools die in het beoogde netwerk werden waargenomen, waren onder meer Dcsync en Imjpuexc. Het is niet duidelijk hoe succesvol de aanvallers waren in hun pogingen. Na 16 april 2025 zijn er geen bijkomende activiteiten geregistreerd.
“Uit de activiteit bij dit slachtoffer blijkt duidelijk dat de aanvallers een aanhoudende en sluipende aanwezigheid op het netwerk wilden bewerkstelligen, en dat ze ook zeer geïnteresseerd waren in het aanvallen van domeincontrollers, waardoor ze zich mogelijk naar veel machines in het netwerk konden verspreiden”, aldus Symantec en Carbon Black.
“Het delen van instrumenten tussen groepen is al lang een trend onder Chinese dreigingsactoren, waardoor het moeilijk is om te zeggen welke specifieke groep achter een reeks activiteiten zit.”
De onthulling komt op het moment dat een beveiligingsonderzoeker met de online naam BartBlaze Salt Typhoon’s misbruik van een beveiligingsfout in WinRAR (CVE-2025-8088) heeft onthuld om een aanvalsketen te initiëren die een DLL sideloadt die verantwoordelijk is voor het uitvoeren van shellcode op de getroffen host. De uiteindelijke payload is bedoeld om contact te maken met een externe server (“mimosa.gleeze(.)com”).
Activiteit van andere Chinese hackgroepen
Volgens een rapport van ESET zijn op China gerichte groepen actief gebleven en hebben zij entiteiten in Azië, Europa, Latijns-Amerika en de VS aangevallen om de geopolitieke prioriteiten van Peking te dienen. Enkele van de opmerkelijke campagnes zijn onder meer:
- Het aanvallen van de energiesector in Centraal-Azië door een bedreigingsacteur met de codenaam Speccom in juli 2025 via phishing-e-mails om een variant van BLOODALCHEMY en aangepaste achterdeurtjes zoals kidsRAT en RustVoralix te leveren.
- Het aanvallen van Europese organisaties door een bedreigingsacteur met de codenaam DigitalRecyclers in juli 2025, waarbij gebruik werd gemaakt van een ongebruikelijke persistentietechniek waarbij gebruik werd gemaakt van de toegankelijkheidstool Magnifier om SYSTEEMrechten te verkrijgen.
- Het aanvallen van overheidsinstanties in Latijns-Amerika (Argentinië, Ecuador, Guatemala, Honduras en Panama) tussen juni en september 2025 door een bedreigingsacteur met de codenaam FamousSparrow die waarschijnlijk misbruik maakte van ProxyLogon-fouten in Microsoft Exchange Server om SparrowDoor te implementeren.
- Het aanvallen van een Taiwanees bedrijf in de defensieluchtvaartsector, een Amerikaanse handelsorganisatie gevestigd in China, en de in China gevestigde kantoren van een Griekse overheidsinstantie, en een Ecuadoraans overheidsorgaan tussen mei en september 2025 door een bedreigingsacteur met de codenaam SinisterEye (ook bekend als LuoYu en Cascade Panda) om malware zoals WinDealer (voor Windows) en SpyDealer (voor Android) te verspreiden met behulp van adversary-in-the-middle (AitM)-aanvallen om legitieme software-updates te kapen mechanismen.
- Het aanvallen van een Japans bedrijf en een multinationale onderneming, beide in Cambodja, in juni 2025 door een bedreigingsacteur met de codenaam PlushDaemon door middel van AitM-vergiftiging om SlowStepper te leveren.
“PlushDaemon bereikt AitM-positionering door netwerkapparaten zoals routers in gevaar te brengen en een tool in te zetten die we EdgeStepper hebben genoemd, die DNS-verkeer van het beoogde netwerk omleidt naar een externe, door aanvallers gecontroleerde DNS-server”, aldus ESET.
“Deze server reageert op vragen voor domeinen die verband houden met de software-update-infrastructuur met het IP-adres van de webserver die de updatekaping uitvoert en bedient uiteindelijk de achterdeur van PlushDaemon, SlowStepper.”
Chinese hackgroepen richten zich op verkeerd geconfigureerde IIS-servers
In de afgelopen maanden hebben dreigingsjagers ook een Chineessprekende bedreigingsacteur opgemerkt die zich richt op verkeerd geconfigureerde IIS-servers met behulp van openbaar toegankelijke machinesleutels om een achterdeur genaamd TOLLBOOTH (ook bekend als HijackServer) te installeren die wordt geleverd met SEO-cloaking en webshell-mogelijkheden.
“REF3927 maakt misbruik van openbaar gemaakte ASP.NET-machinesleutels om IIS-servers in gevaar te brengen en TOLLBOOTH SEO cloaking-modules wereldwijd in te zetten”, aldus onderzoekers van Elastic Security Labs in een rapport dat eind vorige maand werd gepubliceerd. Volgens HarfangLab heeft de operatie honderden servers over de hele wereld geïnfecteerd, waarbij de infecties geconcentreerd zijn in India en de VS
De aanvallen worden ook gekenmerkt door pogingen om de initiële toegang te bewapenen door de Godzilla-webshell te laten vallen, de GotoHTTP-tool voor externe toegang uit te voeren, Mimikatz te gebruiken om inloggegevens te verzamelen en HIDDENDRIVER, een aangepaste versie van de open source rootkit Hidden, in te zetten om de aanwezigheid van kwaadaardige ladingen op de geïnfecteerde machine te verbergen.
Het is de moeite waard erop te wijzen dat het cluster de nieuwste toevoeging is aan een lange lijst van Chinese bedreigingsactoren, zoals GhostRedirector, Operation Rewrite en UAT-8099, die zich op IIS-servers hebben gericht, wat wijst op een toename van dergelijke activiteiten.
“Hoewel de kwaadwillende operators Chinees als hun hoofdtaal lijken te gebruiken en de compromissen gebruiken om zoekmachineoptimalisatie (SEO) te ondersteunen, merken we dat de geïmplementeerde module een persistent en niet-geverifieerd kanaal biedt waarmee elke partij op afstand opdrachten kan uitvoeren op getroffen servers”, aldus het Franse cyberbeveiligingsbedrijf.
