Die Bedrohungsakteure hinter der HiatusRAT-Malware sind aus ihrer Pause zurückgekehrt und greifen taiwanesische Organisationen und ein US-amerikanisches Militäreinkaufssystem an. Sie haben ihre Malware neu kompiliert und die Artefakte auf neuen virtuellen privaten Servern (VPS) gehostet. Die Aktivität der Angreifer wird als besonders dreist beschrieben und zeigt keine Anzeichen einer Verlangsamung. Die genaue Identität und Herkunft der Bedrohungsakteure sind derzeit unbekannt. Zu den Zielen gehören kommerzielle Unternehmen, wie Halbleiter- und Chemiehersteller, sowie eine kommunale Regierungsorganisation in Taiwan und ein Server des US-Verteidigungsministeriums, der mit der Einreichung und Abfrage von Verteidigungsaufträgen verbunden ist.
HiatusRAT wurde erstmals im März 2023 von dem Cybersicherheitsunternehmen als gezielte Malware für Business-Router veröffentlicht, mit der heimlich Opfer in Lateinamerika und Europa ausspioniert wurden. Die Angriffskampagne begann im Juli 2022. Weltweit wurden bis zu 100 Edge-Networking-Geräte infiziert, um den Datenverkehr passiv zu erfassen und in ein Proxy-Netzwerk von Command-and-Control-(C2)-Infrastrukturen umzuwandeln.
Die neueste Angriffswelle, die von Mitte Juni bis August 2023 beobachtet wurde, verwendet vorgefertigte HiatusRAT-Binärdateien, die speziell für Arm, Intel 80386 und x86-64-Architekturen entwickelt wurden, sowie MIPS, MIPS64 und i386. Eine Telemetrieanalyse zur Bestimmung der Verbindungen zum Server, auf dem die Malware gehostet ist, hat ergeben, dass „über 91% der eingehenden Verbindungen aus Taiwan stammten und eine Vorliebe für von Ruckus hergestellte Edge-Geräte bestand“. Die HiatusRAT-Infrastruktur besteht aus Payload- und Aufklärungsservern, die direkt mit den Opfernetzwerken kommunizieren. Diese Server werden von Tier-1-Servern übernommen, die wiederum von Tier-2-Servern betrieben und verwaltet werden.
Die Angreifer haben zwei verschiedene IP-Adressen (207.246.80[.]240 und 45.63.70[.]57) verwendet, um am 13. Juni für etwa zwei Stunden eine Verbindung zum DoD-Server herzustellen. In diesem Zeitraum wurden schätzungsweise 11 MB bidirektionale Daten übertragen. Das genaue Ziel ist unklar, aber es wird vermutet, dass die Angreifer nach öffentlich verfügbaren Informationen über aktuelle und zukünftige militärische Verträge gesucht haben, um ihre Angriffe darauf auszurichten. Das Ausnutzen von Sicherheitslücken in nicht aktualisierten Fortinet- und SonicWall-Geräten, um langfristig in Zielenvironmenten präsent zu bleiben, scheint in den letzten Monaten zum Trend zu werden. Das Unternehmen bemerkt, dass die Bedrohungsakteure trotz vorheriger Offenlegungen von Tools und Fähigkeiten nur minimale Schritte unternommen haben, um ihre C2-Infrastruktur anzupassen und ihre Angriffe fortzusetzen.