L’attore di minaccia collegata in Cina noto come UNC5174 è stato attribuito a una nuova campagna che sfrutta una variante di un malware noto soprannominato Snowlight e un nuovo strumento open supply chiamato Vshell per infettare i sistemi Linux.
“Gli attori delle minacce utilizzano sempre più strumenti open supply nei loro arsenali per efficacia in termini di costi e offuscamento per risparmiare denaro e, in questo caso, si fondono plausibilmente con il pool di avversari non sponsorizzati e spesso meno tecnici (advert es. Kiddies di script), rendendo così più difficile l’attribuzione” disse In un rapporto condiviso con le notizie di Hacker.
“Questo sembra essere particolarmente vero per questo particolare Attore di minacciache è stato sotto il radar per l’ultimo anno da quando è stato affiliato al governo cinese “.
UNC5174, anche indicato come Uteus (o Ueto), period precedentemente documentato Di Mandiant di proprietà di Google come sfruttamento dei difetti di sicurezza in ConnectWise ScreenConnect e F5 Large-IP per fornire un downloader di elfo basato su C di nome Snowlight, progettato per recuperare un tunnele di Golange soprannominato Goheavy da infrastrutture legate a un framework di comando e configurazione pubblicamente disponibile.
Anch’io dispiegato negli attacchi period Goreverse, una backdoor inversa disponibile pubblicamente scritta in Golang che opera su Safe Shell (SSH).
L’agenzia nazionale francese per la sicurezza dei sistemi informatici (ANSSI), nella sua Rapporto sulla panoramica delle minacce informatiche Per il 2024 pubblicato il mese scorso, ha dichiarato di aver osservato un utente malintenzionato che impiegava un talento simile a quello dell’UNC5174 per armare i difetti di sicurezza in Ivanti Cloud Service Equipment (CSA) come CVE-2024-8963, CVE-2024-9380E CVE-2024-8190 per ottenere il controllo ed eseguire il codice arbitrario.
“Moderatamente sofisticato e discreto, questo set di intrusioni è caratterizzato dall’uso di strumenti di intrusione in gran parte disponibili come open supply e dal – già pubblicamente riportato – l’uso di un codice rootkit”, ha affermato l’Anssi.
Vale la pena notare che sia Snowlight che Vshell sono capaci Concentrating on per i sistemi Apple MacOScon quest’ultimo distribuito come una falsa applicazione di autenticatore cloudflare come parte di una catena di attacco non ancora consacrato, secondo un Analisi dei manufatti Caricato su Viustotale dalla Cina nell’ottobre 2024.
Nella catena di attacco osservata da Sysdig alla wonderful di gennaio 2025, il malware Snowlight funge da contagocce per un payload senza file, in memoria chiamato Vshellun Trojan advert accesso remoto (ratto) ampiamente utilizzato dai criminali informatici di lingua cinese. Il vettore di accesso iniziale utilizzato per l’attacco è attualmente sconosciuto.
In particolare, l’accesso iniziale viene utilizzato per eseguire uno script di bash dannoso (“download_backd.sh) che distribuisce due binari associati a Snowlight (DNSLoger) e Frammento (System_worker), entrambi utilizzati per impostare la persistenza e stabilire comunicazioni con un server C2.
La fase finale dell’attacco consegna Vshell tramite Snowlight tramite una richiesta appositamente realizzata al server C2, consentendo così il telecomando e ulteriori sfruttamenti post-compromessi.
“(Vshell) funge da ratto (Trojan Accesso remoto), consentendo ai suoi abusatori di eseguire comandi arbitrari e scaricare o caricare file”, ha detto Rizzo. “Snowlight e Vshell rappresentano un rischio significativo per le organizzazioni a causa delle loro tecniche furtive e sofisticate”, ha detto Sysdig. “Ciò è dimostrato dall’occupazione di Websocket per comandi e controllo, nonché dal payload Vshell senza fila.”
La divulgazione arriva come teamt5 rivelato Che un gruppo di hacking in Cina probabilmente ha probabilmente sfruttato i difetti di sicurezza in Ivanti Home equipment (CVE-2025-0282 E CVE-2025-22457) per ottenere l’accesso iniziale e distribuire il Spawnchimera malware.
Gli attacchi, hanno affermato la società di sicurezza informatica taiwanese, mirava a una moltitudine di settori che abbracciavano quasi 20 paesi diversi come Austria, Australia, Francia, Spagna, Giappone, Corea del Sud, Paesi Bassi, Singapore, Taiwan, Emirati Arabi Uniti, Regno Unito e Stati Uniti.
Anche i risultati Dovetail con accuse Dalla Cina che l’Agenzia nazionale degli Stati Uniti (NSA) lanciato Attacchi informatici “avanzati” durante i Giochi invernali asiatici di febbraio, indicando le dita a tre agenti della NSA per ripetuti attacchi alle infrastrutture di informazioni critiche della Cina e contro Huawei.
“Al nono Asian Winter Video games, il governo degli Stati Uniti ha condotto attacchi informatici sui sistemi di informazione dei giochi e l’infrastruttura informativa critica a Heilongjiang”, il portavoce del ministero degli Esteri Lin Jian disse. “Questa mossa è egregia per mette in pericolo gravemente la sicurezza delle infrastrutture di informazioni critiche della Cina, della difesa nazionale, della finanza, della società e della produzione, nonché le informazioni personali dei suoi cittadini”.
