Een Chinees sprekende dreigingsacteur genaamd Scarabee is gekoppeld aan een aangepaste achterdeur genaamd HeaderTip als onderdeel van een campagne gericht op Oekraïne sinds Rusland vorige maand een invasie begon, waardoor het de tweede in China gevestigde hackgroep is na de Mustang Panda die profiteert van het conflict.
“De kwaadaardige activiteit is een van de eerste openbare voorbeelden van een Chinese dreigingsactor die zich op Oekraïne richt sinds de invasie begon”, zegt SentinelOne-onderzoeker Tom Hegel. zei in een rapport dat deze week is gepubliceerd.
De analyse van SentinelOne volgt op een advies van het Oekraïense Computer Emergency Response Team (CERT-UA) eerder deze week schetsen een spear-phishing-campagne die leidt tot de levering van een RAR-archiefbestand, dat wordt geleverd met een uitvoerbaar bestand dat is ontworpen om een lokbestand te openen terwijl heimelijk een kwaadaardige DLL met de naam HeaderTip op de achtergrond wordt gedropt.
Scarabee was eerst gedocumenteerd door het Symantec Threat Hunter Team, onderdeel van Broadcom Software, in januari 2015, toen het sinds ten minste januari 2012 zeer gerichte aanvallen op Russisch sprekende personen gedetailleerd uiteenzette om een achterdeur genaamd Scieron in te zetten.
“Als de aanvallers erin slagen de computers van de slachtoffers te compromitteren, gebruiken ze een elementaire achterdeurbedreiging genaamd Trojan.Scieron om Trojan.Scieron.B op de computer te laten vallen”, merkten onderzoekers van Symantec destijds op. “Trojan.Scieron.B heeft een rootkit-achtige component die een deel van zijn netwerkactiviteit verbergt en beschikt over meer verbeterde backdoor-functionaliteit.”
HeaderTip’s verbindingen met Scarab komen van malware en infrastructuuroverlappingen met die van Scieron, waarbij SentinelOne de laatste een voorloper van de nieuw ontdekte achterdeur noemt. HeaderTip is ontworpen als een 32-bits DLL-bestand en is geschreven in C++. Het is 9,7 KB groot en de functionaliteit is beperkt tot het fungeren als een eerste-fasepakket voor het ophalen van de volgende-fase-modules van een externe server.
“Op basis van bekende doelen sinds 2020, waaronder die tegen Oekraïne in maart 2022, naast het specifieke taalgebruik, beoordelen we met matig vertrouwen dat Scarab Chinees spreekt en opereert voor doeleinden van geopolitieke informatieverzameling”, zei Hegel.
