Pesquisadores de segurança cibernética lançaram mais luz sobre um Trojan de acesso remoto (RAT) conhecido como Deuterbear usado pelo grupo de hackers BlackTech, ligado à China, como parte de uma campanha de espionagem cibernética direcionada à região da Ásia-Pacífico neste ano.
“Deuterbear, embora semelhante ao Waterbear em muitos aspectos, mostra avanços em capacidades como suporte para plugins de shellcode, evitando apertos de mão para operação do RAT e usando HTTPS para comunicação C&C”, disseram os pesquisadores da Trend Micro Pierre Lee e Cyris Tseng em uma nova análise.
“Comparando as duas variantes de malware, Deuterbear usa um formato de shellcode, possui anti-escaneamento de memória e compartilha uma chave de tráfego com seu downloader, ao contrário do Waterbear”.
O BlackTech, ativo desde pelo menos 2007, também é rastreado pela comunidade de cibersegurança sob os pseudônimos Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard.
Os ataques cibernéticos orquestrados pelo grupo envolvem há muito tempo o uso de um malware chamado Waterbear (também conhecido como DBGPRINT) há cerca de 15 anos, embora as campanhas observadas desde outubro de 2022 também tenham utilizado uma versão atualizada chamada Deuterbear.
Waterbear é entregue por meio de um executável legítimo corrigido, que alavanca o carregamento lateral de DLL para lançar um carregador que então descriptografa e executa um downloader, que posteriormente entra em contato com um servidor de comando e controle (C&C) para recuperar o módulo RAT.
Interessantemente, o módulo RAT é baixado duas vezes da infraestrutura controlada pelo atacante, sendo que a primeira é usada apenas para carregar um plugin Waterbear que aprofunda a comprometimento lançando uma versão diferente do downloader Waterbear para recuperar o módulo RAT de outro servidor C&C.
Dito de outra forma, o primeiro Waterbear RAT serve como um downloader de plugin, enquanto o segundo Waterbear RAT funciona como uma porta dos fundos, coletando informações sensíveis do host comprometido por meio de um conjunto de 60 comandos.
O caminho de infecção para Deuterbear é bastante semelhante ao de Waterbear, pois também implementa duas etapas para instalar o componente de porta dos fundos RAT, mas também o ajusta em alguns aspectos.
A primeira etapa, neste caso, emprega o carregador para lançar um downloader, que se conecta ao servidor C&C para buscar o Deuterbear RAT, um intermediário que serve para estabelecer persistência por meio de um carregador de segunda etapa via carregamento lateral de DLL.
Este carregador é o responsável por executar um downloader, que novamente baixa o Deuterbear RAT de um servidor C&C para roubo de informações.
“Na maioria dos sistemas infectados, apenas o Deuterbear de segunda etapa está disponível”, disseram os pesquisadores. “Todos os componentes do Deuterbear de primeira etapa são totalmente removidos após a conclusão da ‘instalação de persistência’.”
Essa estratégia protege efetivamente suas trilhas e impede que o malware seja facilmente analisado por pesquisadores de ameaças, especialmente em ambientes simulados e não em sistemas de vítimas reais.
O RAT Deuterbear é também uma versão mais simplificada de seu antecessor, mantendo apenas um subconjunto dos comandos em favor de uma abordagem baseada em plugins para incorporar mais funcionalidades.
“A evolução contínua do Waterbear eventualmente deu origem ao surgimento de um novo malware, Deuterbear”, disse a Trend Micro. “Curiosamente, tanto o Waterbear quanto o Deuterbear continuam a evoluir independentemente, em vez de um simplesmente substituir o outro.”
**Campanha Alvo Entrega RAT SugarGh0st**
A divulgação ocorre enquanto a Proofpoint detalhava uma campanha cibernética “extremamente direcionada” visando organizações nos EUA envolvidas em esforços de inteligência artificial, incluindo academia, indústria privada e governo, para entregar um malware chamado SugarGh0st RAT.
A empresa de segurança empresarial está rastreando o cluster de atividades emergentes sob o nome UNK_SweetSpecter.
“O SugarGh0st RAT é um Trojan de acesso remoto e uma variante personalizada do Gh0st RAT, um trojan antigo geralmente usado por atores de ameaças de língua chinesa”, disse a empresa. “O SugarGh0st RAT tem sido historicamente usado para mirar usuários na Ásia Central e Oriental.”
O SugarGh0st RAT foi documentado pela primeira vez no final do ano passado pela Cisco Talos em conexão com uma campanha visando o Ministério das Relações Exteriores do Uzbequistão e usuários sul-coreanos desde agosto de 2023. As intrusões foram atribuídas a um provável ator de ameaças de língua chinesa.
As cadeias de ataque envolvem o envio de mensagens de spear-phishing com temática de IA contendo um arquivo ZIP que, por sua vez, empacota um arquivo de atalho do Windows para implantar um dropper JavaScript responsável por lançar a carga útil do SugarGh0st.
“A campanha de maio de 2024 parece ter mirado menos de 10 indivíduos, todos os quais parecem ter uma conexão direta com uma única organização líder em inteligência artificial baseada nos EUA de acordo com pesquisas de código aberto”, disse a empresa.
O objetivo final dos ataques não está claro, embora se teorize que possa ser uma tentativa de roubar informações não públicas sobre inteligência artificial generativa (GenAI).
Além disso, o direcionamento de entidades dos EUA coincide com notícias de que o governo dos EUA está buscando restringir o acesso da China a ferramentas de GenAI de empresas como OpenAI, Google DeepMind e Anthropic, oferecendo possíveis motivações.
No início deste ano, o Departamento de Justiça dos EUA também indiciou um ex-engenheiro de software do Google por roubo de informações proprietárias da empresa e tentativa de usá-las em duas empresas de tecnologia afiliadas a IA, incluindo uma que ele fundou por volta de maio de 2023.
“É possível que se entidades chinesas forem restritas ao acesso a tecnologias que sustentam o desenvolvimento de IA, então atores cibernéticos alinhados à China podem mirar aqueles com acesso a essas informações para promover objetivos de desenvolvimento chineses”, disse a empresa.
