Tibetanen doelwit van cyberspionagecampagne

ESET schrijft de aanvalscampagne toe aan de aan China gelieerde Evasive Panda APT-groep. De campagne is opgezet rond het Monlam Festival - een religieuze bijeenkomst - en richtten zich zo op Tibetanen in verschillende landen. De getroffen netwerken bevinden zich in India, Taiwan, Hong Kong, Australië en de Verenigde Staten. De cyberspionage-operatie is in januari 2024 ontdekt door ESET. De gecompromitteerde website die is misbruikt als watering hole (de aanvaller besmet een website die het slachtoffer waarschijnlijk of regelmatig gebruikt) behoort tot Kagyu International Monlam Trust, een organisatie in India die het Tibetaans boeddhisme internationaal promoot.

Met de aanval probeerden de aanvallers volgens ESET te profiteren van de internationale belangstelling voor het Kagyu Monlam Festival dat jaarlijks in januari wordt gehouden in de stad Bodhgaya in India. Eén van de geïdentificeerde entiteiten in de IP-adresreeksen is het netwerk van het Georgia Institute of Technology (ook bekend als Georgia Tech) in de Verenigde Staten. In het verleden is de universiteit in verband gebracht met de invloed van de Chinese Communistische Partij op onderwijsinstellingen in de VS.

Aanval op website van softwarebedrijf

Omstreeks september 2023 vielen de aanvallers de website aan van een softwarebedrijf in India, dat vertaalprogramma's voor de Tibetaanse taal maakt. De aanvallers plaatsten diverse getrojaniseerde applicaties die een kwaadaardige downloader voor Windows of macOS implementeren.

Daarnaast misbruikten de aanvallers dezelfde website en een Tibetaanse nieuwswebsite genaamd Tibetpost voor het hosten van de payloads die werden verkregen door de kwaadaardige downloads, waaronder twee volledige backdoors voor Windows en een onbekend aantal payloads voor macOS.

"De aanvallers gebruikten verschillende downloaders, droppers en backdoors, waaronder MgBot - die exclusief wordt gebruikt door Evasive Panda - en Nightdoor. Dat is de laatste grote toevoeging aan de toolkit van de groep en is gebruikt om verschillende netwerken in Oost-Azië aan te vallen", zegt ESET-onderzoeker Anh Ho, die de aanval ontdekte. "De Nightdoor backdoor, gebruikt in de supply-chain aanval, is een recente toevoeging aan de toolset van Evasive Panda. De vroegste versie van Nightdoor die we hebben kunnen vinden is van 2020, toen Evasive Panda het inzette op de machine van een high-profile doelwit in Vietnam. We hebben gevraagd om het Google-account dat is gekoppeld aan het autorisatietoken te verwijderen," voegt Ho toe.

Toegeschreven aan de Evasive Panda APT-groep

ESET schrijft deze campagne met veel vertrouwen toe aan de Evasive Panda APT-groep, op basis van de gebruikte malware: MgBot en Nightdoor. In de afgelopen twee jaar zijn beide backdoors samen ingezet in een niet-gerelateerde aanval tegen een religieuze organisatie in Taiwan, waarbij ze ook dezelfde Command & Control server deelden.

Evasive Panda (ook bekend als BRONZE HIGHLAND en Daggerfly) is een Chinees sprekende en aan China gelieerde APT-groep die actief is sinds ten minste 2012. ESET Research heeft vastgesteld dat de groep cyber spionage uitvoert tegen individuen op het Chinese vasteland, in Hongkong, Macau en Nigeria. Overheidsinstellingen waren eerder het doelwit in China, Macau en Zuidoost- en Oost-Aziatische landen, in het bijzonder Myanmar, de Filippijnen, Taiwan en Vietnam. Andere organisaties in China en Hong Kong waren ook het doelwit. Volgens openbare rapporten heeft de groep zich ook gericht op onbekende entiteiten in Hongkong, India en Maleisië.

De groep gebruikt zijn eigen malwareframework met een modulaire architectuur waardoor zijn backdoor, bekend als MgBot, modules kan ontvangen om zijn slachtoffers te bespioneren en zijn mogelijkheden te vergroten. Sinds 2020 heeft ESET ook waargenomen dat Evasive Panda in staat is om zijn backdoors af te leveren via adversary-in-the-middle-aanvallen waarbij updates van legitieme software worden gekaapt.

Meer informatie is hier beschikbaar.