Taktikai és célzott átfedésekről bizonyosodtak meg a kutatók a Sandman nevű rejtélyes APT és egy kínai székhelyű csoport között, amelyről ismert, hogy a KEYPLUG nevű backdoort használja.
Az értékelés a SentinelOne, a PwC és a Microsoft Threat Intelligence csapatának közös eredménye, amely azon alapul, hogy a támadók Lua alapú LuaDream és KEYPLUG nevű kártevőiről megállapították, hogy ugyanazon áldozathálózatokban élnek együtt.
A Microsoft és a PwC “Storm-0866” és “Red Dev 40” néven követi nyomon a tevékenységet.
A Sandman és a „Storm-0866/Red Dev” 40 közös infrastruktúra-ellenőrzési és -kezelési gyakorlatokat használ, beleértve a tárhelyszolgáltató kiválasztását és a domain elnevezési konvenciókat. A LuaDream és a KEYPLUG megvalósítása közös fejlesztési gyakorlatokat és átfedéseket mutat a funkciók és a tervezés terén, ami arra utal, hogy üzemeltetőik közös funkcionális követelményeket támasztanak.
A Sandman-t először a SentinelOne leplezte le 2023 szeptemberében, részletezve a Közel-Kelet, Nyugat-Európa és Dél-Ázsia távközlési szolgáltatói elleni támadásait egy újszerű eszközzel, amelynek kódneve LuaDream. A behatolásokat 2023 augusztusában rögzítették. A „Storm-0866/Red Dev 40” másrészt egy kialakulóban lévő APT-klaszterre utal, amely elsősorban a Közel-Keleten és a dél-ázsiai szubkontinensen található szervezeteket, köztük telekommunikációs szolgáltatókat és kormányzati szerveket céloz meg. Arzenáljuknak egyik legfontosabb eszköze a KEYPLUG, egy backdoor, amelyet először a Google tulajdonában lévő Mandiant hozott nyilvánosságra a kínai székhelyű APT41 (más néven Brass Typhoon vagy Barium) csoport 2021 májusa és 2022 februárja közötti, hat amerikai állami kormányzati hálózatba való beszivárgás során végrehajtott támadások részeként.
Egy idén március elején közzétett jelentésében a Recorded Future a KEYPLUG használatát egy kínai állam által támogatott, RedGolf néven nyomon követett csoportnak tulajdonította, amelyről azt mondta, hogy “szoros átfedésben van az APT41/Barium álnéven jelentett csoport tevékenységével”.
“E különböző rosszindulatú vírustörzsek megvalósításának és C2 infrastruktúrájának alapos vizsgálata a közös fejlesztésre, valamint az infrastruktúra-ellenőrzési és -kezelési gyakorlatokra utaló jeleket, valamint a funkciók és a tervezés terén bizonyos átfedéseket tárt fel, ami arra utal, hogy a szereplők közös funkcionális követelményeket támasztanak” – mutattak rá a vállalatok.
Az egyik figyelemre méltó átfedés egy pár LuaDream C2 domain, a “dan.det-ploshadka[.]com” és az “ssl.e-novauto[.]com“, amelyet KEYPLUG C2 szerverként is használtak, és amelyet a Storm-0866-hoz is kötöttek.
Egy másik érdekes közös vonás a LuaDream és a KEYPLUG között, hogy mindkét eszköz támogatja a QUIC és a WebSocket protokollokat a C2 kommunikációhoz, ami a koordináció mögött egy Digital Quartermaster jelenlétet feltételez.
“Az operatív infrastruktúra, a célpontok és a TTP-k terén erős átfedések vannak a Sandman APT és a KEYPLUG backdoor-t használó, kínai székhelyű hackerek között, különösen a „Storm-0866/Red Dev 40” esetében” – mondták a kutatók. “Ez rávilágít a kínai fenyegetés összetett jellegére”.
