Os pesquisadores de cibersegurança descobriram que o malware conhecido como BLOODALCHEMY, utilizado em ataques contra organizações governamentais no sul e sudeste da Ásia, é na verdade uma versão atualizada do Deed RAT, que se acredita ser um sucessor do ShadowPad.
“A origem do BLOODALCHEMY e Deed RAT é o ShadowPad e, dada a história do ShadowPad sendo utilizado em diversas campanhas APT, é crucial prestar atenção especial à tendência de uso desse malware”, disse a empresa japonesa ITOCHU Cyber & Intelligence.
BLOODALCHEMY foi primeiramente documentado pela Elastic Security Labs em outubro de 2023, em conexão com uma campanha realizada por um conjunto de intrusões conhecido como REF5961, que visava países da Associação de Nações do Sudeste Asiático (ASEAN).
Uma backdoor básica x86 escrita em C, é injetada em um processo benigno assinado (“BrDifxapi.exe”) usando uma técnica chamada DLL side-loading, e é capaz de sobrescrever o conjunto de ferramentas, reunir informações do host, carregar cargas úteis adicionais e desinstalar e encerrar a si mesmo.
“Embora não confirmado, a presença de tão poucos comandos eficazes indica que o malware pode ser um sub-recurso de um conjunto de intrusões maior ou pacote de malware, ainda em desenvolvimento, ou um malware extremamente focado para um uso tático específico”, observaram os pesquisadores da Elastic na época.
Cadeias de ataque foram observadas comprometendo uma conta de manutenção em um dispositivo VPN para obter acesso inicial e implantar o BrDifxapi.exe, que é então usado para carregar o BrLogAPI.dll, um carregador responsável por executar o shellcode do BLOODALCHEMY na memória após extrair do arquivo chamado DIFX.
O malware utiliza um modo de execução que determina seu comportamento, permitindo efetivamente escapar da análise em ambientes de sandbox, estabelecer persistência, estabelecer contato com um servidor remoto e controlar o host infectado por meio dos comandos da backdoor implementados.
A análise da ITOCHU sobre o BLOODALCHEMY também identificou similaridades de código com o Deed RAT, um malware multifacetado exclusivamente usado por um ator de ameaça conhecido como Space Pirates e é visto como a próxima iteração do ShadowPad, que por si só é uma evolução do PlugX.
“O primeiro ponto de similaridade notável são as estruturas de dados exclusivas do cabeçalho da carga útil em ambos BLOODALCHEMY e Deed RAT”, disse a empresa. “Algumas similaridades foram encontradas no processo de carregamento do shellcode e no arquivo DLL usado para ler o shellcode também.”
É importante observar que tanto o PlugX (Korplug) quanto o ShadowPad (também conhecido como PoisonPlug) têm sido amplamente utilizados por grupos de hackers com nexos na China ao longo dos anos.
Vazamentos neste ano de um contratante estatal chinês chamado I-Soon revelaram que essas sobreposições táticas e de ferramentas entre grupos de hackers chineses derivam do fato de que essas entidades de hackeamento por contrato apoiam múltiplas campanhas com ferramentas similares, dando credibilidade à presença de “quarteirões digitais” que supervisionam um pool centralizado de ferramentas e técnicas.
A divulgação ocorre à medida que um ator de ameaça ligado à China conhecido como Sharp Dragon (anteriormente Sharp Panda) expandiu seu alvo para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.