Ein chinesischsprachiger Advanced Persistent Threat (APT) wurde mit einer neuen Kampagne in Verbindung gebracht, die auf Glücksspielunternehmen in Südostasien abzielt, insbesondere in Taiwan, den Philippinen und Hongkong.
Das Cybersecurity-Unternehmen Avast nannte die Kampagne Operation Dragon Castling und beschrieb das Malware-Arsenal als „robustes und modulares Toolset“. Die endgültigen Motive des Bedrohungsakteurs sind noch nicht erkennbar, und er wurde auch noch nicht mit einer bekannten Hackergruppe in Verbindung gebracht.
Während im Verlauf der Kampagne mehrere Zugangswege genutzt wurden, bestand einer der Angriffsvektoren darin, eine bisher unbekannte Schwachstelle in der WPS Office Suite (CVE-2022-24934) auszunutzen, um über eine Hintertür in das Zielsystem einzudringen. Das Problem wurde inzwischen von Kingsoft Office, dem Entwickler der Office-Software, behoben.
In dem von der tschechischen Sicherheitsfirma beobachteten Fall wurde die Schwachstelle ausgenutzt, um eine bösartige Binärdatei von einem gefälschten Update-Server mit der Domain update.wps[.]cn abzulegen, die eine mehrstufige Infektionskette auslöst, die zur Bereitstellung von Zwischen-Nutzlasten führt, die eine Privilegienerweiterung ermöglicht, bevor schließlich das Proto8-Modul abgelegt wird.
„Das Kernmodul ist eine einzelne DLL, die für das Einrichten des Arbeitsverzeichnisses der Malware, das Laden von Konfigurationsdateien, das Aktualisieren des Codes, das Laden von Plugins, das Beamen zu [Command-and-Control]-Servern und das Warten auf Befehle verantwortlich ist“, so die Avast Forscher Luigino Camastra, Igor Morgenstern und Jan Holman.
Das Plugin-basierte System von Proto8, das zur Erweiterung seiner Funktionen verwendet wird, ermöglicht es der Malware, persistent zu werden, die Benutzerkontensteuerung (UAC) zu umgehen, neue Backdoor-Konten zu erstellen und sogar beliebige Befehle auf dem infizierten System auszuführen.