Un actor de amenazas persistentes avanzado alineado con China conocido como TA413 utilizó como arma las fallas recientemente reveladas en Sophos Firewall y Microsoft Office para implementar una puerta trasera nunca antes vista llamada BAJO CERO como parte de una campaña de espionaje dirigida a entidades tibetanas.
Los objetivos consistían principalmente en organizaciones asociadas con la comunidad tibetana, incluidas empresas asociadas con el gobierno tibetano en el exilio.
Las intrusiones involucraron la explotación de CVE-2022-1040 y CVE-2022-30190 (también conocido como «Follina»), dos vulnerabilidades de ejecución remota de código en Sophos Firewall y Microsoft Office, respectivamente.
«Esta voluntad de incorporar rápidamente nuevas técnicas y métodos de acceso inicial contrasta con el uso continuo del grupo de capacidades bien conocidas e informadas, como el armamento Royal Road RTF, y las tendencias a menudo laxas de adquisición de infraestructura», Recorded Future dijo en un nuevo análisis técnico.
TA413, también conocido como LuckyCat, se ha vinculado a organizaciones e individuos asociados con la comunidad tibetana sin descanso al menos desde 2020 utilizando malware como ExileRAT, Sepulcher y una extensión maliciosa del navegador Mozilla Firefox denominada FriarFox.
Proofpoint destacó previamente la explotación de la falla de Follina por parte del grupo en junio de 2022, aunque el objetivo final de las cadenas de infección seguía sin estar claro.
También se utilizó en un ataque de spear-phishing identificado en mayo de 2022 un documento RTF malicioso que aprovechó fallas en Microsoft Equation Editor para descartar el implante LOWZERO personalizado. Esto se logra empleando un Herramienta de armamento Royal Road RTFque es ampliamente compartido entre los actores de amenazas chinos.
En otro correo electrónico de phishing enviado a un objetivo tibetano a fines de mayo, un archivo adjunto de Microsoft Word alojado en el servicio Google Firebase intentó aprovechar la vulnerabilidad de Follina para ejecutar un comando de PowerShell diseñado para descargar la puerta trasera desde un servidor remoto.
LOWZERO, la puerta trasera, es capaz de recibir módulos adicionales de su servidor de comando y control (C2), pero solo con la condición de que la máquina comprometida se considere de interés para el atacante.
«El grupo continúa incorporando nuevas capacidades al mismo tiempo que confía en los probados y probados [tactics, techniques, and procedures,» the cybersecurity firm said.
«TA413’s adoption of both zero-day and recently published vulnerabilities is indicative of wider trends with Chinese cyber-espionage groups whereby exploits regularly appear in use by multiple distinct Chinese activity groups prior to their widespread public availability.»