Pesquisadores de segurança cibernética descobriram que o malware conhecido como BLOODALCHEMY, utilizado em ataques contra organizações governamentais do sul e sudeste da Ásia, na verdade é uma versão atualizada do Deed RAT, que se acredita ser um sucessor do ShadowPad. A origem do BLOODALCHEMY e do Deed RAT é o ShadowPad e, dada a história do ShadowPad sendo utilizado em várias campanhas APT, é crucial prestar atenção especial à tendência de uso desse malware, conforme relatado pela empresa japonesa ITOCHU Cyber & Intelligence. O BLOODALCHEMY foi primeiramente documentado pela Elastic Security Labs em outubro de 2023, em conexão com uma campanha realizada por um conjunto de intrusões que rastreia como REF5961, visando os países da Associação de Nações do Sudeste Asiático (ASEAN). O malware, um backdoor x86 básico escrito em C, é injetado em um processo benigno assinado (“BrDifxapi.exe”) usando uma técnica chamada DLL side-loading e é capaz de sobrescrever o conjunto de ferramentas, coletar informações dos hosts, carregar cargas adicionais e desinstalar e encerrar a si mesmo. As cadeias de ataque observadas comprometem uma conta de manutenção em um dispositivo VPN para obter acesso inicial e implantar o BrDifxapi.exe, que é então usado para carregar o BrLogAPI.dll, um carregador responsável por executar o shellcode BLOODALCHEMY na memória após extrair do arquivo chamado DIFX. O malware emprega um modo de execução que determina seu comportamento, permitindo efetivamente evitar a análise em ambientes de sandbox, estabelecer persistência, estabelecer contato com um servidor remoto e controlar o host infectado por meio dos comandos do backdoor implementado. A análise do BLOODALCHEMY pela ITOCHU também identificou similaridades de código com o Deed RAT, um malware multifacetado usado exclusivamente por um ator conhecido como Space Pirates e é visto como a próxima iteração do ShadowPad, que, por sua vez, é uma evolução do PlugX. É importante observar que tanto o PlugX (Korplug) quanto o ShadowPad (também conhecido como PoisonPlug) foram amplamente utilizados por grupos de hackers com ligações à China ao longo dos anos. Vazamentos este ano de um empreiteiro estatal chinês chamado I-Soon revelaram que essas sobreposições táticas e de ferramentas entre grupos de hackers chineses derivam do fato de que essas entidades de hack-for-hire apoiam várias campanhas com ferramentas semelhantes, o que dá credibilidade à presença de “quartel-mestres digitais” que supervisionam um pool centralizado de ferramentas e técnicas. Essa revelação ocorre enquanto um ator de ameaças ligado à China conhecido como Sharp Dragon (anteriormente Sharp Panda) expandiu seus alvos para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.