Các nhà nghiên cứu đã xác định được một APT nhỏ nhưng có tiềm năng liên kết với Trung Quốc, đã hoạt động dưới tầm quan sát của gần một thập kỷ, thực hiện các chiến dịch chống lại chính phủ, giáo dục và các tổ chức viễn thông ở Đông Nam Á và Australia.

Các nhà nghiên cứu từ SentinelLabs cho biết APT, mà họ gọi là Aoqin Dragon, đã hoạt động ít nhất từ ​​năm 2013. APT là “một nhóm nhỏ nói tiếng Trung có tiềm năng liên kết với [APT được gọi là] UNC94,” họ báo cáo.

Các nhà nghiên cứu cho biết một trong những chiến thuật và kỹ thuật của Aoqin Dragon bao gồm sử dụng các tài liệu độc hại có chủ đề khiêu dâm làm mồi nhử để lôi kéo nạn nhân tải chúng xuống.

Các nhà nghiên cứu viết: “Aoqin Dragon tìm kiếm quyền truy cập ban đầu chủ yếu thông qua khai thác tài liệu và sử dụng các thiết bị di động giả mạo.

Chiến thuật tàng hình đang phát triển của Aoqin Dragon

Một phần của điều đã giúp Aoqin Dragon ở trong tầm ngắm của chúng lâu như vậy là chúng đã tiến hóa. Ví dụ, phương tiện APT được sử dụng để lây nhiễm các máy tính mục tiêu đã phát triển.

Trong vài năm đầu hoạt động, Aoqin Dragon dựa vào việc khai thác các lỗ hổng cũ - cụ thể là CVE-2012-0158 và CVE-2010-3333 - mà các mục tiêu của họ có thể chưa được vá.

Sau đó, Aoqin Dragon đã tạo các tệp thực thi với các biểu tượng trên màn hình khiến chúng trông giống như các thư mục Windows hoặc phần mềm chống vi-rút. Các chương trình này thực sự là những phần mềm nhỏ giọt độc hại đã trồng các cửa hậu và sau đó thiết lập các kết nối trở lại máy chủ điều khiển và kiểm soát (C2) của kẻ tấn công.

Kể từ năm 2018, nhóm đã sử dụng một thiết bị di động giả làm vật trung gian lây nhiễm của họ. Khi người dùng nhấp để mở thư mục có vẻ là một thư mục thiết bị di động, trên thực tế, họ bắt đầu một phản ứng dây chuyền tải một backdoor và kết nối C2 vào máy của họ. Không chỉ vậy, phần mềm độc hại còn tự sao chép vào bất kỳ thiết bị di động thực tế nào được kết nối với máy chủ, để tiếp tục lây lan ra ngoài máy chủ và hy vọng vào mạng rộng hơn của mục tiêu.

Nhóm đã sử dụng các kỹ thuật khác để tránh xa radar. Họ đã sử dụng đường hầm DNS - thao túng hệ thống tên miền của internet để đánh cắp dữ liệu vượt qua tường lửa. Một đòn bẩy backdoor - được gọi là Mongall - mã hóa dữ liệu giao tiếp giữa máy chủ và máy chủ C2. Theo thời gian, các nhà nghiên cứu cho biết, APT bắt đầu làm việc dần dần với kỹ thuật đĩa đệm giả có thể tháo rời. Điều này được thực hiện để "nâng cấp phần mềm độc hại để bảo vệ nó khỏi bị các sản phẩm bảo mật phát hiện và xóa."

Liên kết Quốc gia-Nhà nước

Các mục tiêu có xu hướng giảm chỉ trong một vài nhóm - chính phủ, giáo dục và viễn thông, tất cả ở trong và xung quanh Đông Nam Á. Các nhà nghiên cứu khẳng định "việc nhắm mục tiêu của Aoqin Dragon phù hợp chặt chẽ với lợi ích chính trị của chính phủ Trung Quốc."

Các bằng chứng khác về ảnh hưởng của Trung Quốc bao gồm một nhật ký gỡ lỗi do các nhà nghiên cứu tìm thấy có chứa các ký tự Trung Quốc giản thể.

Quan trọng nhất, các nhà nghiên cứu nhấn mạnh một cuộc tấn công chồng chéo vào trang web của chủ tịch Myanmar vào năm 2014. Trong trường hợp đó, cảnh sát đã lần ra các máy chủ thư và lệnh kiểm soát của tin tặc tới Bắc Kinh. Hai backdoor chính của Aoqin Dragon "có cơ sở hạ tầng C2 chồng chéo", với trường hợp đó, "và hầu hết các máy chủ C2 có thể được quy cho người dùng nói tiếng Trung Quốc."

Tuy nhiên, “việc xác định và theo dõi đúng các tác nhân đe dọa do Nhà nước và Nhà nước tài trợ có thể là một thách thức,” Mike Parkin, kỹ sư kỹ thuật cấp cao tại Vulcan Cyber, viết trong một tuyên bố. “SentinelOne hiện đang công bố thông tin về một nhóm APT rõ ràng đã hoạt động gần một thập kỷ và không xuất hiện trong các danh sách khác, cho thấy khó có thể 'chắc chắn' khi bạn xác định một tác nhân đe dọa mới. ”