O grupo de espionagem chinês chamado Iron Tiger (também conhecido como LuckyMouse) tem como alvo usuários do Windows, Linux e macOS com instaladores de aplicativos MiMi Chat trojanizados.
As empresas de segurança cibernética Trend Micro e SEKOIA identificaram uma nova campanha de malware da Iron Tiger, um grupo chinês APT também conhecido como Emissary Panda, Goblin Panda Conimes, Cycldek, Bronze Union, LuckyMouse, APT27 e Threat Group 3390 ( TG-3390).
O grupo de ciberespionagem ligado à China tem como alvo usuários de Windows, Linux, macOS e iOS por meio de versões trojanizadas de instaladores de aplicativos de bate-papo MiMi. Os principais alvos do Iron Tiger nesta campanha estavam localizados em Taiwan e nas Filipinas.
A Trend Micro conseguiu identificar uma das vítimas, uma empresa de desenvolvimento de jogos com sede em Taiwan, enquanto, no geral, treze entidades foram visadas.
Análise Detalhada da Campanha de Espionagem do Tigre de Ferro
O grupo lançado anteriormente com motivação política, especulação e coleta de inteligência campanhas de ciberespionagem. Por exemplo, em junho de 2018, o Iron Tiger APT foi pego visando um data center nacional de um país desconhecido da Ásia Central usando um ataque watering hole .
Em março de 2018, o mesmo grupo foi identificado em um ataque cibernético contra a infraestrutura do governo paquistanês. Em abril de 2021, o Iron Tiger APT foi mais uma vez pego espionando o governo e organizações militares do Vietnã com o FoundCore RAT.
A última campanha do Iron Tiger foi identificada em junho após a Trend Micro pesquisadores baixaram versões infectadas da versão iOS do MiMi.
Nesta campanha, o modus operandi da Iron Tiger envolve comprometer os servidores do aplicativo MiMi Chat para infectar dispositivos de usuários desavisados. O aplicativo usa o framework multiplataforma ElectronJS para sua versão desktop.
De acordo com Sekoia, A campanha tem todos os elementos de um ataque à cadeia de suprimentos, pois os servidores de back-end do aplicativo que hospedam os instaladores legítimos do MiMi são controlados pelos invasores. Os instaladores modificados do MiMi baixam um backdoor personalizado na memória chamado HyperBro no dispositivo de destino.
Os invasores modificaram constantemente os instaladores de aplicativos de bate-papo para entregar malware
Pesquisadores confirmou que o Iron Tiger começou a acessar o servidor host do MiMi em novembro de 2021. quando os desenvolvedores lançaram novas versões do aplicativo de bate-papo MiMi, os operadores de malware exploraram ainda mais seu acesso aos servidores host para modificar os instaladores rapidamente.
Levou apenas uma hora e meia para os operadores de malware alterarem os instaladores legítimos, enquanto para versões mais antigas, levaram apenas um dia para realizar a modificação.
Recursos de malware
De acordo com a postagem do blog, a Trend Micro descobriu vários exemplos de rshell, incluindo um direcionado ao Linux. Os pesquisadores analisaram a amostra do iOS e identificaram que ele buscou o rshell backdoor para macOS e pode coletar dados do sistema e transmiti-los para um servidor C2. Ele também pode executar comandos dos invasores e enviar resultados para o mesmo servidor C2.
Outra investigação revelou que o backdoor pode abrir/fechar/executar comandos em um shell , leia, exclua ou feche arquivos, liste diretórios e prepare arquivos para upload/download. De acordo com os pesquisadores, a amostra mais antiga foi carregada em junho de 2021.
Por que o aplicativo de backdoor não levantou suspeitas
Os pesquisadores apontaram que as versões de backdoor do aplicativo de bate-papo MiMi passaram despercebidas e não levantaram bandeiras vermelhas porque os instaladores legítimos não foram assinados. Isso significa que os usuários passariam por vários avisos do sistema ao instalar o aplicativo.
