Un actor de amenazas vinculado a China llamado APT17 Se ha observado que se dirige a empresas y entidades gubernamentales italianas utilizando una variante de malware conocido llamado 9002 RAT.
Los dos ataques dirigidos tuvieron lugar el 24 de junio y el 2 de julio de 2024, dijo la empresa italiana de ciberseguridad TG Soft en un análisis publicado la semana pasada.
“La primera campaña del 24 de junio de 2024 utilizó un documento de Office, mientras que la segunda campaña contenía un enlace”, dijo la empresa. nota“Ambas campañas invitaban a la víctima a instalar un paquete de Skype Empresarial desde un enlace de un dominio del gobierno italiano para transmitir una variante de RAT 9002”.
APT17 fue documentado por primera vez por Mandiant (entonces FireEye), propiedad de Google, en 2013 como parte de operaciones de ciberespionaje llamadas perro adjunto Y Hidra efímera que aprovechó las fallas de día cero en Internet Explorer de Microsoft para piratear objetivos de interés.
También se le conoce con los apodos Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx y TEMP.Avengers, y el adversario comparte cierto nivel de superposición de herramientas con otro actor de amenazas apodado Webworm.
9002 RATAtambién conocido como Hydraq y McRAT, se hizo famoso como arma cibernética de opcion en la Operación Aurora que distinguido Google y otras empresas importantes en 2009. También se utilizó posteriormente en otra campaña de 2013 llamada Tienda de sol en el que los atacantes inyectaron redireccionamientos maliciosos en múltiples sitios web.
Las últimas cadenas de ataques implican el uso de señuelos de phishing para engañar a los destinatarios para que hagan clic en un enlace que les solicita descargar un instalador MSI para Skype Empresarial (“SkypeMeeting.msi”).
El lanzamiento del paquete MSI activa la ejecución de un archivo Java Archive (JAR) a través de un script de Visual Basic (VBS), mientras se instala el software de chat legítimo en el sistema Windows. La aplicación Java, a su vez, descifra y ejecuta el código shell responsable de iniciar 9002 RAT.
A troyano modular9002 RAT est doté de fonctionnalités permettant de surveiller le trafic réseau, de capturer des captures d’écran, d’énumérer les fichiers, de gérer les processus et d’exécuter des commandes supplémentaires reçues d’un serveur distant pour faciliter la découverte du réseau , Entre otros.
“El malware también parece actualizarse constantemente con variantes sin disco”, dijo TG Soft. “Se compone de varios módulos que se activan según las necesidades del ciberactor para reducir el riesgo de interceptación. »