Bevis tyder på att en nyss upptäckt APT har varit aktiv sedan 2013.
Forskare har identifierat en liten men ändå potent Kina-länkad APT som har flugit under radarn i nästan ett decennium med kampanjer mot myndigheter, utbildnings- och telekommunikationsorganisationer i Sydostasien och Australien.
Forskare från SentinelLabs sa APT, som de kallade Aoqin Dragon, har varit verksamt sedan åtminstone 2013. APT är "ett litet kinesisktalande team med potentiell association till [en APT som heter] UNC94", rapporterade de.
Forskare säger att en av taktikerna och teknikerna för Aoqin Dragon inkluderar att använda skadliga dokument med pornografiska teman som bete för att locka offer att ladda ner dem.
"Aoqin Dragon söker initial åtkomst främst genom dokumentexploater och användning av falska flyttbara enheter", skrev forskare.
Aoqin Dragons Evolving Stealth Tactics
En del av det som har hjälpt Aoqin Dragon att hålla sig under radarn så länge är att de har utvecklats. Till exempel har sättet som APT använde för att infektera måldatorer utvecklats.
Under de första åren av drift förlitade sig Aoqin Dragon på att utnyttja gamla sårbarheter – närmare bestämt CVE-2012-0158 och CVE-2010-3333 – som deras mål kanske inte har åtgärdat ännu.
Senare skapade Aoqin Dragon körbara filer med skrivbordsikoner som fick dem att se ut som Windows-mappar eller antivirusprogram. Dessa program var faktiskt illvilliga droppare som planterade bakdörrar och sedan upprättade anslutningar tillbaka till angriparnas kommando-och-kontroll-servrar (C2).
Sedan 2018 har gruppen använt en falsk avtagbar enhet som sin infektionsvektor. När en användare klickar för att öppna vad som verkar vara en flyttbar enhetsmapp, initierar de i själva verket en kedjereaktion som laddar ner en bakdörr och en C2-anslutning till sin maskin. Inte bara det, skadlig programvara kopierar sig själv till alla faktiska flyttbara enheter som är anslutna till värddatorn, för att fortsätta spridas utanför värden och, förhoppningsvis, in i målets bredare nätverk.
Gruppen har använt andra tekniker för att hålla sig utanför radarn. De har använt DNS-tunnling – manipulerat internets domännamnssystem för att smyga data förbi brandväggar. En bakdörrsfunktion – känd som Mongall – krypterar kommunikationsdata mellan värd och C2-server. Med tiden, sa forskarna, började APT långsamt arbeta med den falska löstagbara skivtekniken. Detta gjordes för att "pgradera skadlig programvara för att skydda den från att upptäckas och tas bort av säkerhetsprodukter."
Nation-stat länkar
Målen har tenderat att falla på bara några få hinkar – myndigheter, utbildning och telekom, allt i och runt Sydostasien. Forskare hävdar att "målet mot Aoqin Dragon ligger nära den kinesiska regeringens politiska intressen."
Ytterligare bevis på Kinas inflytande inkluderar en felsökningslogg som hittats av forskare och som innehåller förenklade kinesiska tecken.
Viktigast av allt, forskarna lyfte fram en överlappande attack mot presidenten för Myanmars webbplats redan 2014. I det fallet spårade polisen hackarnas kommando-och-kontroll- och e-postservrar till Peking. Aoqin Dragons två primära bakdörrar "har överlappande C2-infrastruktur", med det fallet, "och de flesta av C2-servrarna kan hänföras till kinesisktalande användare."
Ändå kan "att korrekt identifiera och spåra statliga och statliga sponsrade hotaktörer vara utmanande", skrev Mike Parkin, senior teknisk ingenjör på Vulcan Cyber, i ett uttalande. "SentinelOne släpper informationen nu om en APT-grupp som tydligen har varit aktiv i nästan ett decennium, och som inte förekommer i andra listor, visar hur svårt det kan vara "att vara säker" när du identifierar en ny hotaktör. ”
