Pesquisadores de segurança cibernética descobriram que o malware conhecido como SANGUE ALQUIMIA usado em ataques contra organizações governamentais no sul e sudeste da Ásia é na verdade uma versão atualizada do Deed RAT, que se acredita ser um sucessor do ShadowPad.
“A origem do BLOODALCHEMY e do Deed RAT é o ShadowPad e dado o histórico do ShadowPad sendo utilizado em inúmeras campanhas de APT, é essential prestar atenção especial à tendência de uso deste malware”, disse a empresa japonesa ITOCHU Cyber & Intelligence.
BLOODALCHEMY foi documentado pela primeira vez pelo Elastic Safety Labs em outubro de 2023 em conexão com uma campanha montada por um conjunto de intrusão rastreado como REF5961 visando os países da Associação das Nações do Sudeste Asiático (ASEAN).
Um backdoor barebones x86 escrito em C, é injetado em um processo benigno assinado (“BrDifxapi.exe”) usando uma técnica chamada carregamento lateral de DLL e é capaz de sobrescrever o conjunto de ferramentas, coletar informações do host, carregar cargas adicionais e desinstalar e encerrando-se.
“Embora não confirmado, a presença de tão poucos comandos eficazes indica que o malware pode ser um sub-recurso de um conjunto maior de invasões ou pacote de malware, ainda em desenvolvimento, ou um malware extremamente focado para um uso tático específico”, observaram os pesquisadores da Elastic em A Hora.
A implantação de cadeias de ataque foi observada comprometendo uma conta de manutenção em um dispositivo VPN para obter acesso inicial para implantar BrDifxapi.exe, que é então usado para carregar BrLogAPI.dll, um carregador responsável por executar o shellcode BLOODALCHEMY na memória após extraí-lo de um arquivo chamado DIFX.
O malware emprega o chamado modo de execução que determina seu comportamento, permitindo efetivamente escapar da análise em ambientes sandbox, configurar persistência, estabelecer contato com um servidor remoto e controlar o host infectado por meio de comandos backdoor implementados.
A análise do BLOODALCHEMY pela ITOCHU também identificou semelhanças de código com o Deed RAT, um malware multifacetado usado exclusivamente por um ator de ameaça conhecido como House Pirates e é visto como a próxima iteração do ShadowPad, que em si é uma evolução do PlugX.
“O primeiro ponto notavelmente semelhante são as estruturas de dados exclusivas do cabeçalho de carga útil no BLOODALCHEMY e no Deed RAT”, disse a empresa. “Algumas semelhanças foram encontradas no processo de carregamento do shellcode e também no arquivo DLL usado para ler o shellcode.”
É importante notar que tanto o PlugX (Korplug) quanto o ShadowPad (também conhecido como PoisonPlug) têm sido amplamente utilizados por grupos de hackers do nexo chinês ao longo dos anos.
Vazamentos no início deste ano de um empreiteiro estatal chinês chamado I-Quickly revelaram que tais sobreposições táticas e de ferramentas entre grupos de hackers chineses decorre do fato de que essas entidades de hack-for-hire apoiam múltiplas campanhas com ferramentas semelhantes, dando credibilidade à presença de ” intendentes digitais” que supervisionam um conjunto centralizado de ferramentas e técnicas.
A divulgação ocorre no momento em que um ator de ameaça ligado à China, conhecido como Sharp Dragon (anteriormente Sharp Panda), expandiu a sua segmentação para incluir organizações governamentais em África e nas Caraíbas, como parte de uma campanha contínua de espionagem cibernética.
