Een voorheen ongedocumenteerde spionagetool is sinds ten minste 2013 ingezet tegen geselecteerde regeringen en andere kritieke infrastructuurdoelen als onderdeel van een langlopende spionagecampagne die is georkestreerd door aan China gelieerde bedreigingsactoren.
Het Symantec Threat Hunter-team van Broadcom kenmerkte de achterdeur, genaamd Daxinals een technologisch geavanceerde malware, waarmee de aanvallers een verscheidenheid aan communicatie- en informatieverzamelingsoperaties kunnen uitvoeren die gericht zijn op entiteiten in de telecom-, transport- en productiesectoren die van strategisch belang zijn voor China.
“Daxin-malware is een zeer geavanceerde rootkit-backdoor met complexe, onopvallende command-and-control (C2) -functionaliteit waarmee externe actoren kunnen communiceren met beveiligde apparaten die niet rechtstreeks met internet zijn verbonden”, aldus de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) zei in een onafhankelijk advies.
Het implantaat heeft de vorm van een Windows-kernelstuurprogramma dat een uitgebreid communicatiemechanisme implementeert dat de malware een hoge mate van stealth biedt en de mogelijkheid biedt om te praten met machines die fysiek zijn losgekoppeld van internet.
Het bereikt dit door uitdrukkelijk te vermijden zijn eigen netwerkdiensten te lanceren, in plaats daarvan te kiezen voor gebruik van legitieme TCP/IP services die al op de geïnfecteerde computers draaien om de communicatie te mengen met normaal verkeer op het netwerk van het doelwit en om opdrachten te ontvangen van een externe peer.
“Deze functies doen denken aan Regin”, merkten de onderzoekers op, verwijzend naar een andere geavanceerde toolkit voor malware en hacking toegeschreven aan de Amerikaanse National Security Agency (NSA) voor spionageoperaties door de overheid in 2014.
Een van de ongebruikelijke aspecten van Daxin, naast het genereren van geen verdacht netwerkverkeer dat ongezien blijft, is de mogelijkheid om opdrachten door te geven via een netwerk van geïnfecteerde computers binnen de aangevallen organisatie, waardoor een “multi-node communicatiekanaal” wordt gecreëerd dat terugkerende toegang tot de gecompromitteerde computers voor langere tijd.
Terwijl recente inbreuken met betrekking tot de achterdeur in november 2021 zouden hebben plaatsgevonden, zei Symantec dat het overeenkomsten op codeniveau heeft ontdekt met een ouder stuk malware genaamd Exforel (ook bekend als Zala), wat aangeeft dat Daxin mogelijk is gebouwd door een acteur met toegang tot de codebase van laatstgenoemde of dat ze het werk zijn van dezelfde groep.
De campagnes zijn niet toegeschreven aan een enkele tegenstander, maar een tijdlijn van de aanvallen laat zien dat Daxin is geïnstalleerd op een aantal van dezelfde systemen waar tools zijn gevonden die verband houden met andere Chinese spionageacteurs zoals Slug. Dit omvat de inzet van zowel Daxin als Owprox malware op een enkele computer van een technologiebedrijf in mei 2020.
“Daxin is zonder twijfel het meest geavanceerde stukje malware […] gebruikt door een aan China gelieerde actor”, aldus de onderzoekers. “Gezien de mogelijkheden en de aard van de ingezette aanvallen, lijkt Daxin geoptimaliseerd te zijn voor gebruik tegen geharde doelen, waardoor de aanvallers diep in het netwerk van een doelwit kunnen graven en gegevens kunnen exfiltreren zonder argwaan wekken.”
De onthulling komt een week nadat het in China gevestigde Pangu Lab een “top-tier” achterdeur uitbracht, Bvp47 genaamd, die al meer dan tien jaar door de Amerikaanse National Security Agency werd gebruikt en gericht was op maar liefst 287 organisaties in 45 landen, voornamelijk in China, Korea, Japan, Duitsland, Spanje, India en Mexico.
