Una nueva campaña de ciberataques dirigida a personas de habla china emplea una versión troyanizada del lector de PDF SumatraPDF para desplegar el agente post-explotación AdaptixC2 Beacon y, finalmente, facilitar el abuso de los túneles de Microsoft Visual Studio Code (VS Code) para acceso remoto. La campaña fue descubierta el mes pasado por Zscaler ThreatLabz, que la atribuye con alta confianza al grupo Tropic Trooper (también conocido como APT23, Earth Centaur, KeyBoy y Pirate Panda). Este grupo, activo desde al menos 2011, ha centrado sus ataques en entidades de Taiwán, Hong Kong y Filipinas.
Según el análisis del investigador de seguridad Yin Hong Chang, los atacantes crearon un listener personalizado para AdaptixC2 Beacon, utilizando GitHub como plataforma de comando y control (C2). Se cree que los objetivos de la campaña son personas de habla china en Taiwán, así como individuos en Corea del Sur y Japón. El punto de partida del ataque es un archivo ZIP que contiene señuelos documentales con temática militar, que al abrirlos ejecutan la versión maliciosa de SumatraPDF. Este programa muestra un PDF falso mientras, en segundo plano, descarga shellcode cifrado desde un servidor de staging para lanzar AdaptixC2 Beacon.
Para ello, el ejecutable de SumatraPDF troyanizado lanza una versión ligeramente modificada de un cargador con nombre clave TOSHIS, una variante de Xiangoop, un malware vinculado a Tropic Trooper. Este cargador ha sido utilizado anteriormente para recuperar cargas útiles de segunda etapa, como Cobalt Strike Beacon o el agente Merlin para el framework Mythic. El cargador activa el atque en múltiples etapas: deja caer el documento señuelo como mecanismo de distracción y, en segundo plano, instala el agente AdaptixC2 Beacon. Este agente utiliza GitHub para C2, enviando señales periódicas a la infraestructura controlada por los atacantes para obtener tareas que ejecutar en el sistema comprometido.
El ataque pasa a la siguiente etapa solo cuando la víctima se considera valiosa; entonces, los atacantes despliegan VS Code y configuran túneles de VS Code para acceso remoto. En algunas máquinas seleccionadas, se ha observado que instalan aplicaciones troyanizadas alternativas, probablemente para camuflar mejor sus acciones. Además, el servidor de staging utilizado en la intrusión (158.247.193.100) ha alojado previamente un Cobalt Strike Beacon y una puerta trasera personalizada llamada EntryShell, ambos utilizados por Tropic Trooper en el pasado. Zscaler señala que, al igual que en la campaña TAOTH, se emplean puertas traseras disponibles públicamente como cargas útiles: mientras que antes se usaban Cobalt Strike Beacon y Mythic Merlin, ahora los atacantes han migrado a AdaptixC2.
