Pesquisadores de cibersegurança revelaram mais detalhes sobre um trojan de acesso remoto (RAT) conhecido como Deuterbear usado pelo grupo de hackers BlackTech, vinculado à China, como parte de uma campanha de espionagem cibernética direcionada à região da Ásia-Pacífico neste ano.

“Deuterbear, embora semelhante ao Waterbear de muitas maneiras, mostra avanços em capacidades como suporte para plugins de shellcode, evitando handshakes para operação RAT e usando HTTPS para comunicação com C&C,” disseram os pesquisadores Pierre Lee e Cyris Tseng em uma nova análise.

“Comparando as duas variantes de malware, Deuterbear usa um formato de shellcode, possui anti-scanning de memória e compartilha uma chave de tráfego com o seu downloader, ao contrário do Waterbear.”

O BlackTech, ativo desde pelo menos 2007, também é rastreado pela comunidade de cibersegurança sob diversos nomes, como Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn e Temp.Overboard.

Ataques cibernéticos orquestrados pelo grupo há muito tempo envolvem o uso de um malware chamado Waterbear (também conhecido como DBGPRINT) por quase 15 anos, embora campanhas observadas desde outubro de 2022 tenham utilizado uma versão atualizada chamada Deuterbear.

O Waterbear é entregue por meio de um executável legítimo corrigido, que faz uso do carregamento lateral de DLL para lançar um carregador que então descriptografa e executa um downloader, que posteriormente entra em contato com um servidor de comando e controle (C&C) para recuperar o módulo RAT.

Curiosamente, o módulo RAT é baixado duas vezes da infraestrutura controlada pelo atacante, a primeira das quais é usada apenas para carregar um plugin Waterbear que intensifica a invasão lançando uma versão diferente do downloader Waterbear para recuperar o módulo RAT de outro servidor C&C.

Em outras palavras, o primeiro Waterbear RAT atua como um downloader de plugin, enquanto o segundo Waterbear RAT funciona como uma porta dos fundos, coletando informações sensíveis do host comprometido por meio de um conjunto de 60 comandos.

O caminho de infecção para o Deuterbear é bastante semelhante ao do Waterbear, pois também implementa dois estágios para instalar o componente de porta dos fundos RAT, mas faz ajustes em certa medida.

O primeiro estágio, neste caso, emprega o carregador para lançar um downloader, que se conecta ao servidor C&C para buscar o RAT Deuterbear, um intermediário que serve para estabelecer persistência por meio de um carregador de segundo estágio via carregamento lateral de DLL.

Este carregador é, por fim, responsável por executar um downloader, que novamente baixa o RAT Deuterbear de um servidor C&C para roubo de informações.

“Na maioria dos sistemas infectados, apenas o Deuterbear de segundo estágio está disponível,” disseram os pesquisadores. “Todos os componentes do Deuterbear de primeiro estágio são totalmente removidos após a ‘instalação de persistência’ ser concluída.”

O Deuterbear RAT também é uma versão mais simplificada de seu antecessor, retendo apenas um subconjunto dos comandos em vez de uma abordagem baseada em plugins para incorporar mais funcionalidades.

“O Waterbear passou por uma evolução contínua, eventualmente dando origem ao surgimento de um novo malware, o Deuterbear,” disse a Trend Micro. “Interessante é que tanto o Waterbear quanto o Deuterbear continuam evoluindo independentemente, em vez de um simplesmente substituir o outro.”