O Grupo de Inteligência de Ameaças do Google (GTIG) descobriu uma operação multifacetada de espionagem cibernética atribuída ao ator de ameaça PRC-nexus UNC6384, que se acredita estar associado ao temp.hex (também conhecido como Mustang Panda).
Esta campanha, alinhada aos interesses estratégicos da China, direcionados principalmente diplomatas no sudeste da Ásia, ao lado de entidades globais, empregando táticas avançadas, como ataques de adversários no meio (AITM), seqüestros de portal cativos e malware assinado digitalmente para facilitar intrusões furtivas.
Campanha de espionagem sofisticada
Ao sequestrar o tráfego da web através de dispositivos de borda comprometidos, os invasores redirecionaram vítimas para sites maliciosos imitando atualizações de software legítimas, implantando o backdoor Sogu.Sec (uma variante do Plugx) para acesso persistente e Exfiltração de dados.
Análise de Gtig revela Uma cadeia de ataque de vários estágios que aproveita certificados válidos de assinatura de código para ignorar as defesas do terminal, destacando as capacidades em evolução do grupo em evasão e engenharia social.
A operação começa com um seqüestro de portal em cativeiro, explorando verificações do navegador para URLs codificados como http://www.gstatic.com/gereate_204, redirecionando o tráfego via AITM para domínios controlados por atacantes, como mediareaseUpdates[.]com, garantido com certificados Let’s Crypty TLS.
As vítimas encontram uma página de destino enganosa pedindo a instalação de uma atualização falsa de “plug -in Adobe”, completa com criptografia HTTPS para evitar avisos do navegador e permitir a entrega criptografada de malware.
Entrega de malware em vários estágios
Após a interação, o JavaScript do Style3.js aciona o download de Adobeplugins.exe, um downloader assinado digitalmente rastreado como staticplugin, certificado pela Chengdu Nuoxin Times Technology Co., Ltd. via Globalsign.
Assinado em 9 de maio de 2025, este mascarades binários como um instalador redistribuível do Microsoft Visual C ++ 2013, usando objetos do Windows Com Installer para buscar um pacote MSI disfarçado de arquivo BMP, que implanta a DLL do Cannonsager através do carregamento lateral.
O CANONSGER, executado via CNMPAUI.EXE (uma ferramenta legítima de assistente de impressora Canon IJ), emprega ofuscação sofisticada, incluindo o hash de API personalizado armazenado em matrizes de armazenamento local (TLS) para resolver funções como o GetCurrentDirectoryw, Evading Static Analysis.
Além disso, ele abusa de recursos do Windows, como procedimentos de janela personalizados, filas de mensagens e mensagens WM_SHOWWindow para execução de código indiretas, criando janelas ocultas sobrepostas e enviando mensagens de forma assíncrona para descriptografar e iniciar o calls da call-sog.sec.
Essa implantação na memória garante artefatos baseados em disco, misturando-se com atividade legítima do sistema.
Sogu.sec, um backdoor fortemente ofuscado, permite o reconhecimento do sistema, transferências de arquivos e Execução remota da conchaComunicação sobre HTTPs a C2 IP 166.88.2[.]90 com um agente de usuário personalizado imitando o msie 9.0.
O GTIG atribui isso à UNC6384 com base em sobreposições de TTP, incluindo direcionamento do sudeste asiático, carregamento lateral da DLL e infraestrutura C2 compartilhada com temp.hex.
O uso de malware assinado por nuoxina Chengdu remonta a 2023, com 25 amostras rastreadas em clusters de PRC-Nexus, levantando perguntas sobre compromisso ou cumplicidade do certificado.
O Google mitigou emitindo alertas apoiados pelo governo, atualizando listas de navegação segura e aprimorando a inteligência do Secops.
Os defensores são solicitados a ativar a navegação segura aprimorada, os dispositivos de remendo e implementar a verificação de duas etapas, enquanto monitorou indicadores como mutex knbgxngds e chaves de registro sob hkcu software microsoft windows currentVersion run canonprinter.
Indicadores de compromisso (IOCs)
| Categoria | Nome/Descrição | COI |
|---|---|---|
| Hashes de arquivo (SHA-256) | Adobeplugins.exe | 65C42A7EA18162A92EE982Ed91653A5358A7129C7672715CE8DDB6027EC124 |
| 20250509.BMP (MSI) | 3299866538AFF40CA85276F87DD0CEFEFE4EAFE167BD64732D67B06AF4F3349916 | |
| Certificado Impressões digitais (SHA-1) | MediarelEaseUpdates[.]com | C8744B10180ED59BF96CF79D7559249E9DCF0F90 |
| Adobeplugins.exe | ECA96BD74FB6B22848751E254B6DC9B8E2721F96 | |
| Indicadores de rede | Página de destino | https[:]// MediarEleaseUpdates[.]com/adobeplugins[.]html |
| JavaScript | https[:]// MediarEleaseUpdates[.]com/style3[.]JS | |
| Pacote msi | https[:]// MediarEleaseUpdates[.]com/20250509[.]BMP | |
| Hospedando IP | 103.79.120[.]72 | |
| C2 IP | 166.88.2[.]90 | |
| Agente de usuário SOGU.SEC | Mozilla/5.0 (compatível; MSIE 9.0; Windows NT 10.0; .NET4.0C; .NET4.0E; .NET CLR 2.0.50727; .NET CLR 3.0.30729; .NET CLR 3.5.30729) | |
| Indicadores do host | Nome Mutex | KNBGXNGDS |
| Chave rc4 | mqhkvbhwwajwrlxd | |
| Caminho do arquivo | %LocalAppData% dnvjzaxmfo | |
| Caminho do arquivo | C: Usuários public Intelnet | |
| Caminho do arquivo | C: Usuários Public SecurityScan |
Encontre esta notícia interessante! Siga -nosGoogle NewsAssim,LinkedIneXPara obter atualizações instantâneas!