Eine chinesische Hackergruppe wird für eine neue Kampagne verantwortlich gemacht, die darauf abzielt, Regierungsbeamte in Europa, dem Nahen Osten und Südamerika mit einer modularen Malware namens PlugX zu infizieren.
Das Cybersecurity-Unternehmen Secureworks gab an, die Angriffe im Juni und Juli 2022 entdeckt zu haben, was einmal mehr zeigt, dass sich der Gegner weiterhin auf Spionage gegen Regierungen auf der ganzen Welt konzentriert.
„PlugX ist eine modulare Malware, die einen Command-and-Control-Server (C2) kontaktiert und zusätzliche Plugins herunterladen kann, um ihre Fähigkeiten über das Sammeln von Informationen hinaus zu erweitern“, so Secureworks Counter Threat Unit (CTU) in einem Bericht, der The Hacker News vorliegt.
Bronze President ist ein in China ansässiger Bedrohungsakteur, der mindestens seit Juli 2018 aktiv ist. Es handelt sich wahrscheinlich um eine staatlich gesponserte Gruppe, die eine Mischung aus proprietären und öffentlich verfügbaren Tools einsetzt, um ihre Ziele zu kompromittieren und Daten zu sammeln.
Sie ist auch unter anderen Namen wie HoneyMyte, Mustang Panda, Red Lich und Temp.Hex öffentlich bekannt. Eines der wichtigsten Tools ist PlugX, ein Fernzugriffstrojaner, der unter chinesischen Angreiferkollektiven weit verbreitet ist.
Anfang dieses Jahres wurde die Gruppe dabei beobachtet, wie sie mit einer aktualisierten Version der PlugX-Backdoor namens Hodur russische Regierungsbeamte sowie Einrichtungen in Asien, der Europäischen Union und den USA ins Visier nahm.
Secureworks führt die jüngste Kampagne auf die Verwendung von PlugX und politisch motivierten Köderdokumenten zurück, die mit Regionen übereinstimmen, die für China von strategischer Bedeutung sind.
Die Angriffsketten verteilen RAR-Archivdateien, die eine Windows-Verknüpfungsdatei (.LNK) enthalten, die sich als PDF-Dokument tarnt und beim Öffnen eine legitime Datei ausführt, die sich in einem versteckten Ordner innerhalb des Archivs befindet.
Dies ebnet dann den Weg für das Ablegen eines Täuschungsdokuments, während die PlugX-Nutzlast auf dem infizierten Host persistent wird.
„Bronze President hat bewiesen, dass er in der Lage ist, schnell auf neue Gelegenheiten zum Sammeln von Informationen zu reagieren“, so die Forscher. „Organisationen in geografischen Regionen, die für China von Interesse sind, sollten die Aktivitäten dieser Gruppe genau beobachten, insbesondere Organisationen, die mit Regierungsbehörden verbunden sind oder als solche agieren.