Cercetătorii în securitate cibernetică de la Check Point Research au descoperit un grup de spionaj aliniat Chinei, denumit Silver Dragon, care a vizat entități guvernamentale din Asia de Sud-Est și Europa cel puțin din mijlocul anului 2024, implementând Cobalt Strike beacons și un backdoor personalizat care folosește Google Drive pentru comunicații secrete.
Descoperirile, publicate pe 2 martie, detaliază o campanie pe care Check Point o evaluează „cu un grad mare de certitudine” ca fiind legată de ecosistemul mai larg APT41, o operațiune prolifică de hacking sponsorizată de statul chinez, cunoscută pentru că vizează sectoarele de sănătate, telecomunicații și tehnologie avansată încă din 2012. Cu toate acestea, focusul Silver Dragon pare să fie în mod clar pe ministere guvernamentale și organizații din sectorul public.
Cum operează Silver Dragon
Silver Dragon se bazează pe două puncte principale de intrare: exploatarea serverelor expuse pe internet și e-mailuri de phishing cu atașamente malițioase. Check Point a identificat trei lanțuri distincte de infecție, toate conducând în final la Cobalt Strike, un framework legitim de testare a penetrării, abuzat pe scară largă de actori amenințători.
Primele două lanțuri — deturnarea AppDomain și manipularea DLL-urilor de servicii — sunt furnizate prin arhive comprimate în scenarii post-exploatare, conform The Hacker News, care a raportat descoperirile marți. Al treilea lanț implică campanii de phishing care vizează în principal Uzbekistanul, folosind fișiere shortcut Windows compromise care declanșează cod PowerShell pentru a încărca lateral DLL-uri malițioase.
Pentru a menține persistența, Silver Dragon deturnează servicii Windows legitime precum Windows Update și Bluetooth, „ceea ce permite proceselor malware-ului să se integreze în activitatea normală a sistemului”, a declarat Check Point. Grupul utilizează tunelare DNS pentru comunicarea command-and-control pentru a evita detectarea la nivel de rețea.
Instrumente personalizate și infrastructură de comandă bazată pe cloud
Printre cele mai notabile instrumente din arsenalul Silver Dragon se numără GearDoor, un backdoor .NET care se autentifică la un cont Google Drive controlat de atacatori și îl folosește ca și canal de comandă și control. Fiecare mașină compromisă creează un folder dedicat în cloud, încarcă periodic date de tip heartbeat și preia comenzi de la operator deghizate ca fișiere obișnuite — mascând astfel traficul malițios în utilizarea normală a serviciilor cloud.
Setul de instrumente al grupului include și SilverScreen, un implant de monitorizare a ecranului care capturează periodic capturi de ecran, și SSHCmd, un utilitar SSH ușor pentru execuția de comenzi la distanță și transferul de fișiere.
Atribuire și perspectivă
Atribuirea făcută de Check Point se bazează pe suprapunerea tehnicilor de lucru cu campanii anterioare ale APT41, rutine de decriptare comune și marcaje temporale de compilare aliniate constant la fusul orar chinezesc (China Standard Time). „Grupul își evoluează continuu instrumentele și tehnicile, testând și implementând activ noi capabilități în cadrul diferitelor campanii”, a declarat Check Point, descriind Silver Dragon ca fiind „un grup de amenințare bine finanțat și adaptabil”.
Surse:
APT41-Linked Silver Dragon Targets Governments Using Cobalt Strike and Google Drive C2