Eine finanziell motivierte Bedrohungsakteurin namens UNC4990 nutzt manipulierte USB-Geräte als initialen Infektionsvektor, um Organisationen in Italien anzugreifen. Die Angriffe richten sich an mehrere Branchen, darunter Gesundheit, Transport, Bau und Logistik. UNC4990 infiziert weit verbreitet USB-Geräte und setzt dann den EMPTYSPACE-Downloader ein. Dabei greift die Gruppe auf Drittanbieter-Websites wie GitHub, Vimeo und Ars Technica zurück, um verschlüsselte zusätzliche Phasen herunterzuladen und über PowerShell zu entschlüsseln.
UNC4990 ist seit Ende 2020 aktiv und nutzt für ihre Aktivitäten überwiegend italienische Infrastruktur für Befehls- und Kontrollzwecke. Es ist nicht bekannt, ob UNC4990 nur als Initialzugangserleichterung für andere Akteure fungiert. Das genaue Ziel der Bedrohungsakteurin ist ebenfalls nicht klar, obwohl in einem Fall ein Open-Source-Kryptominer eingesetzt wurde, nachdem monatelang Beaconing-Aktivitäten stattgefunden hatten.
Die Kampagne wurde bereits im Dezember 2023 von Fortgale und Yoroi dokumentiert, wobei Fortgale den Akteur unter dem Namen Nebula Broker verfolgte. Die Infektion erfolgt, wenn ein Opfer eine schädliche LNK-Verknüpfungsdatei auf einem USB-Gerät doppelklickt. Dadurch wird ein PowerShell-Skript ausgeführt, das für den Download von EMPTYSPACE (auch bekannt als BrokerLoader oder Vetta Loader) von einem Remote-Server über ein weiteres PowerShell-Skript auf Vimeo verantwortlich ist.
Yoroi identifizierte vier verschiedene Varianten von EMPTYSPACE, die in Golang, .NET, Node.js und Python geschrieben sind und als Verbindung für das Herunterladen von Next-Stage-Payloads über HTTP vom C2-Server fungieren, einschließlich eines Backdoors namens QUIETBOARD. Ein bemerkenswerter Aspekt dieser Phase ist die Nutzung beliebter Websites wie Ars Technica, GitHub, GitLab und Vimeo zum Hosting schädlicher Payloads.
QUIETBOARD dagegen ist ein Python-basiertes Backdoor mit einer Vielzahl von Funktionen, die es ermöglichen, beliebige Befehle auszuführen, kopierte Kryptowallet-Adressen zu ändern, um Geldtransfers auf Konten unter ihrer Kontrolle umzuleiten, den Malware auf Wechselmedien zu verbreiten, Bildschirmfotos zu machen und Systeminformationen zu sammeln. Das Backdoor kann auch modular erweitert werden und unabhängige Python-Module wie Coin-Miner ausführen sowie Python-Code dynamisch vom C2-Server abrufen und ausführen.
Die Analyse von EMPTYSPACE und QUIETBOARD zeigt, dass die Bedrohungsakteurin einen modularen Ansatz bei der Entwicklung ihrer Tool-Sammlung verfolgt. Die Verwendung mehrerer Programmiersprachen zur Erstellung verschiedener Versionen des EMPTYSPACE-Downloaders und die Änderung der URL, als das Vimeo-Video entfernt wurde, zeigen eine Neigung zur Experimentierfreudigkeit und Anpassungsfähigkeit auf Seiten der Akteurin.