Pesquisadores de segurança cibernética descobriram que o malware conhecido como BLOODALCHEMY, usado em ataques direcionados a organizações governamentais no sul e sudeste da Ásia, é na verdade uma versão atualizada do Deed RAT, que se acredita ser sucessor do ShadowPad.

“A origem do BLOODALCHEMY e do Deed RAT é o ShadowPad, e, dada a história do ShadowPad sendo utilizado em inúmeras campanhas APT, é crucial prestar atenção especial à tendência de uso desse malware”, disse a empresa japonesa ITOCHU Cyber & Intelligence.

O BLOODALCHEMY foi documentado pela primeira vez pela Elastic Security Labs em outubro de 2023 em conexão com uma campanha realizada por um grupo de intrusão que eles rastreiam como REF5961, visando os países da Associação de Nações do Sudeste Asiático (ASEAN).

Um backdoor x86 básico escrito em C, é injetado em um processo benigno assinado (“BrDifxapi.exe”) usando uma técnica chamada DLL side-loading, e é capaz de substituir o conjunto de ferramentas, coletar informações do host, carregar cargas adicionais e desinstalar e encerrar a si mesmo.

“Embora não confirmado, a presença de tão poucos comandos eficazes indica que o malware pode ser uma subcaracterística de um conjunto de invasores maior ou pacote de malware, ainda em desenvolvimento, ou um malware extremamente focado para um uso tático específico”, observaram os pesquisadores da Elastic na época.

Cadeias de ataque foram observadas comprometendo uma conta de manutenção em um dispositivo de VPN para obter acesso inicial e implantar o BrDifxapi.exe, que é então usado para carregar o BrLogAPI.dll, um carregador responsável por executar o shellcode do BLOODALCHEMY na memória após extrair do arquivo chamado DIFX.

O malware emprega o que é chamado de modo de execução que determina seu comportamento, permitindo efetivamente que ele evite análises em ambientes de sandbox, estabeleça persistência, estabeleça contato com um servidor remoto e controle o host infectado por meio dos comandos implementados do backdoor.

A análise da ITOCHU sobre o BLOODALCHEMY também identificou semelhanças de código com o Deed RAT, um malware multifacetado usado exclusivamente por um grupo ameaçador conhecido como Space Pirates e é visto como a próxima iteração do ShadowPad, que por si só é uma evolução do PlugX.

“O primeiro ponto notavelmente similar são as estruturas de dados únicas do cabeçalho da carga útil tanto do BLOODALCHEMY quanto do Deed RAT”, disse a empresa. “Algumas semelhanças foram encontradas no processo de carregamento do shellcode e no arquivo DLL usado para ler o shellcode também.”

Vale ressaltar que tanto o PlugX (Korplug) quanto o ShadowPad (também conhecido como PoisonPlug) foram amplamente utilizados por grupos de hackers ligados à China ao longo dos anos.

Vazamentos mais cedo este ano de um contratado estatal chinês chamado I-Soon revelou que tais sobreposições táticas e de ferramentas entre grupos de hackers chineses derivam do fato de que essas entidades de hack-for-hire suportam múltiplas campanhas com ferramentas semelhantes, dando credibilidade à presença de “quarteirões digitais” que supervisonam um pool centralizado de ferramentas e técnicas.

A divulgação ocorre enquanto um ator ameaçador vinculado à China conhecido como Sharp Dragon (anteriormente Sharp Panda) expandiu seu alvo para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.