Pesquisadores de segurança cibernética descobriram que o malware conhecido como BLOODALCHEMY, usado em ataques direcionados a organizações governamentais no sul e sudeste da Ásia, na verdade é uma versão atualizada do Deed RAT, que se acredita ser sucessor do ShadowPad.

“A origem do BLOODALCHEMY e do Deed RAT é o ShadowPad e, considerando a história do ShadowPad sendo utilizado em diversas campanhas APT, é crucial prestar atenção especial à tendência de uso desse malware,” disse a empresa japonesa ITOCHU Cyber & Intelligence.

O BLOODALCHEMY foi primeiro documentado pelo Elastic Security Labs em outubro de 2023, em conexão com uma campanha promovida por um conjunto de intrusão denominado REF5961, que visa países da Associação das Nações do Sudeste Asiático (ASEAN).

Um backdoor x86 básico escrito em C, ele é injetado em um processo benigno assinado (“BrDifxapi.exe”) usando uma técnica chamada DLL side-loading, e é capaz de substituir a ferramenta, reunir informações do host, carregar cargas adicionais, desinstalar e encerrar a si mesmo.

“Embora não confirmado, a presença de um número tão reduzido de comandos eficazes indica que o malware pode ser um sub-recurso de um grande conjunto de intrusão ou pacote de malware, ainda em desenvolvimento, ou um malware extremamente focado para um uso tático específico,” observaram os pesquisadores do Elastic na época.

As cadeias de ataque que foram observadas comprometem uma conta de manutenção em um dispositivo VPN para obter acesso inicial e implantar o BrDifxapi.exe, que é então utilizado para carregar o BrLogAPI.dll, um carregador responsável por executar o shellcode do BLOODALCHEMY na memória após extraí-lo de um arquivo chamado DIFX.

O malware emprega um modo de execução que determina seu comportamento, permitindo efetivamente a evasão de análises em ambientes de sandbox, estabelecimento de persistência, estabelecimento de contato com um servidor remoto e controle do host infectado por meio dos comandos de backdoor implementados.

A análise da ITOCHU sobre o BLOODALCHEMY também identificou semelhanças de código com o Deed RAT, um malware multifacetado exclusivamente usado por um ator de ameaça conhecido como Space Pirates e é visto como a próxima iteração do ShadowPad, que por si só é uma evolução do PlugX.

“O primeiro ponto notavelmente semelhante são as estruturas de dados exclusivas do cabeçalho da carga útil tanto do BLOODALCHEMY quanto do Deed RAT,” disse a empresa. “Algumas semelhanças foram encontradas no processo de carregamento do shellcode e no arquivo DLL usado para ler o shellcode também.”

É importante ressaltar que tanto o PlugX (Korplug) quanto o ShadowPad (também conhecido como PoisonPlug) foram amplamente utilizados por grupos de hackers vinculados à China ao longo dos anos.

Vazamentos ainda este ano de um contratante estatal chinês chamado I-Soon revelaram que essas sobreposições táticas e de ferramentas entre os grupos de hackers chineses se deve ao fato de que essas entidades de hack-for-hire apoiam diversas campanhas com ferramentas semelhantes, dando credibilidade à presença de “almoxarifes digitais” que supervisionam um conjunto centralizado de ferramentas e técnicas.

A divulgação vem no momento em que um ator de ameaça vinculado à China conhecido como Sharp Dragon (anteriormente Sharp Panda) expandiu seus alvos para incluir organizações governamentais na África e no Caribe como parte de uma campanha contínua de espionagem cibernética.