Un género progresista de amenaza persistente (APT) alineada por China Thewizards se ha relacionado con una utensilio de movimiento pegado convocatoria SpellBinder que puede favorecer los ataques adversarios en el medio (AITM).
«SpellBinder permite ataques adversarios en el medio (AITM), a través de la autoconfiguración de la autoconfiguración de la dirección de estado IPv6 (SLAAC), que se mueva lateralmente en la red comprometida, interceptando paquetes y redirigiendo el tráfico del software seguro de los chinos de modo que descargue actualizaciones maliciosas de un servidor controlado por los atacantes», dice los investigadores Eset FacUNDOZ en un noticia de los informes.
El ataque allana el camino para un descargador desconfiado que se entrega al secuestrar el mecanismo de puesta al día de software asociado con Sogou Pinyin. El descargador luego actúa como un conducto para soltar un modular puerta en el nombre en código Wizardnet.
Esta no es la primera vez que los actores de amenaza china han abusado del proceso de puesta al día de software de Sogou Pinyin para entregar su propio malware. En enero de 2024, ESET detalló un género de piratería conocido como Blackwood que ha implementado un implante llamado NSPX30 aprovechando el mecanismo de puesta al día de la aplicación de software de método de entrada chino.
Luego, a principios de este año, la compañía de ciberseguridad eslovaco reveló otro clúster de amenazas conocido como Plushdaemon que aprovechó la misma técnica para distribuir un descargador personalizado llamado Littledaemon.
Se sabe que TheWizards APT se dirige tanto a los individuos como a los sectores de engranaje en Camboya, Hong Kong, China continental, Filipinas y los Emiratos Árabes Unidos.
La evidencia sugiere que el actor de amenazas ha utilizado la utensilio SpellBinder IPv6 AITM desde al menos 2022. Si adecuadamente el vector de paso auténtico exacto utilizado en los ataques es desconocido en esta etapa, el paso exitoso es seguido por la entrega de un archivo ZIP que contiene cuatro archivos diferentes: avgapplicationframehost.exe, wsc.dll, log.dat y winpcap.xe.
Los actores de la amenaza luego proceden a instalar «WinPCap.exe» y ejecutar «AvgapplicationFrameHost.exe», este zaguero se abusa de resaltar la DLL. El archivo DLL después lee ShellCode de «Log.Dat» y lo ejecuta en la memoria, lo que hace que SpellBinder se inicie en el proceso.
«Spellbinder usa la biblioteca WinPCAP para capturar paquetes y contestar a los paquetes cuando sea necesario», explicó Muñoz. «Aprovecha el protocolo de descubrimiento de red de IPv6 en el que los mensajes del anuncio del enrutador ICMPV6 (RA) anuncian que un enrutador con capacidad de IPv6 está presente en la red para que los hosts que admiten IPv6, o soliciten un enrutador con capacidad para IPv6, puedan adoptar el dispositivo publicitario como su puerta de entrada predeterminada».
En un caso de ataque observado en 2024, se dice que los actores de amenaza utilizaron este método para secuestrar el proceso de puesta al día de software para Tencent QQ a nivel DNS para servir una lectura troyana que luego implementa WizardNet, una puerta trasera modular que está equipada para percibir y ejecutar cargas de suscripción .NET en el host infectado.
SpellBinder logra interceptando la consulta DNS para el dominio de puesta al día de software («update.browser.qq (.) Com») y emitiendo una respuesta DNS con la dirección IP de un servidor controlado por el atacante («43.155.62 (.) 54») que aloja la puesta al día maliciosa.
Otra utensilio extraordinario en el Atarazana de TheWizards es Darknights, que todavía se claridad Darknimbus por Trend Micro y se ha atribuido a otro género de piratería chino rastreado como Minotauro de la Tierra. Dicho esto, entreambos grupos están siendo tratados como operadores independientes, citando diferencias en las herramientas, la infraestructura y las huellas de focalización.
Desde entonces, se ha surgido que un contratista del Profesión de Seguridad Pública china convocatoria Sichuan Dianke Network Security Technology Co., Ltd. (todavía conocido como UPSEC) es el proveedor del malware Darknimbus.
«Si adecuadamente TheWizards usa una puerta trasera diferente para Windows (WizardNet), el servidor de secuestro está configurado para servir a Darknights para modernizar aplicaciones que se ejecutan en dispositivos Android», dijo Muñoz. «Esto indica que Dianke Network Security es un intendente digital para TheWizards Apt Group».
