Een cybercriminaliteitsbende, bekend als Black Cat, wordt toegeschreven aan een vergiftigingscampagne voor zoekmachineoptimalisatie (SEO), waarbij gebruik wordt gemaakt van frauduleuze sites die reclame maken voor populaire software om gebruikers te misleiden zodat ze een achterdeur downloaden die gevoelige gegevens kan stelen.
Volgens een rapport gepubliceerd door het National Computer Network Emergency Response Technical Team/Coördinatiecentrum van China (CNCERT/CC) en Beijing Weibu Online (ook bekend als ThreatBook), is de activiteit bedoeld om op strategische wijze valse sites bovenaan de zoekresultaten van zoekmachines als Microsoft Bing te plaatsen, waarbij ze zich specifiek richten op gebruikers die op zoek zijn naar programma’s als Google Chrome, Notepad++, QQ International en iTools.
“Na het bezoeken van deze hooggeplaatste phishing-pagina’s worden gebruikers gelokt door zorgvuldig opgebouwde downloadpagina’s, waarin wordt geprobeerd software-installatiepakketten te downloaden die zijn gebundeld met kwaadaardige programma’s”, aldus CNCERT/CC en ThreatBook. “Eenmaal geïnstalleerd, implanteert het programma een achterdeurtrojan zonder medeweten van de gebruiker, wat leidt tot diefstal van gevoelige gegevens van de hostcomputer door aanvallers.”
Er wordt geschat dat Black Cat al sinds 2022 actief is en een reeks aanvallen orkestreert die zijn ontworpen voor gegevensdiefstal en afstandsbediening met behulp van malware die wordt verspreid via SEO-vergiftigingscampagnes. In 2023 zou de groep voor minstens $160.000 aan cryptocurrency hebben gestolen door zich voor te doen als AICoin, een populair platform voor de handel in virtuele valuta.
Bij de nieuwste reeks aanvallen krijgen gebruikers die naar Notepad++ zoeken links te zien naar een overtuigende phishing-site die zich voordoet als geassocieerd met het softwareprogramma (“cn-notepadplusplus(.)com”). Andere door Black Cat geregistreerde domeinen zijn onder meer “cn-obsidian(.)com”, “cn-winscp(.)com” en “notepadplusplus(.)cn.”
De opname van “cn” in de domeinnamen geeft aan dat de bedreigingsactoren specifiek achter Chinese gebruikers aanzitten die mogelijk via zoekmachines naar dergelijke tools zoeken.
Mochten nietsvermoedende gebruikers uiteindelijk op de knop “downloaden” op de nepwebsite klikken, dan worden ze doorgestuurd naar een andere URL die GitHub nabootst (“github.zh-cns(.)top”) vanwaar een ZIP-archief kan worden gedownload. In het ZIP-bestand is een installatieprogramma aanwezig dat een snelkoppeling op het bureaublad van de gebruiker maakt. De snelkoppeling fungeert als toegangspunt voor het zijdelings laden van een kwaadaardige DLL die op zijn beurt de achterdeur opent.
De malware maakt contact met een hardgecodeerde externe server (“sbido(.)com:2869”), waardoor deze webbrowsergegevens kan stelen, toetsaanslagen kan registreren, de inhoud van het klembord en andere waardevolle informatie van de getroffen host kan extraheren.
CNCERT/CC en ThreatBook merkten op dat het cybercriminaliteitssyndicaat Black Cat tussen 7 en 20 mei 2025 ongeveer 277.800 hosts in heel China heeft gecompromitteerd, waarbij het hoogste dagelijkse aantal gecompromitteerde machines in het land oploopt tot 62.167.
Om het risico te beperken, wordt gebruikers geadviseerd niet op links van onbekende bronnen te klikken en zich te houden aan vertrouwde bronnen voor het downloaden van software.
