Un gruppo di hacker cinesi, Scarab, è collegato ad una backdoor personalizzata soprannominata HeaderTip come parte di una campagna che prende di mira l’Ucraina. Gli attacchi vanno avanti più o meno da quando la Russia ha intrapreso l’invasione il mese scorso, rendendo Scarab il secondo gruppo di hacker basato in Cina dopo Mustang Panda a capitalizzare sul conflitto.
“Le attività del gruppo rappresentano uno dei primi esempi di attacchi hacker non russi che prendono di mira l’Ucraina da quando è iniziata la guerra”, ha detto Tom Hegel di SentinelOne in un rapporto pubblicato questa settimana.
L’analisi di SentinelOne segue un avviso dal Computer Emergency Response Team dell’Ucraina (CERT-UA) all’inizio di questa settimana che delinea una campagna di spear-phishing che porta al download di un archivio RAR, al cui interno vi è un eseguibile che è progettato per aprire un file esca mentre furtivamente lascia agire una DLL dannosa chiamata HeaderTip in background.
Scarab è stato documentato per la prima volta dal Symantec Threat Hunter Team, nel gennaio 2015. Infatti, il STHT notò attacchi mirati contro soggetti di lingua russa nel gennaio 2012 per distribuire una backdoor chiamata Scieron.
“Se gli attaccanti riescono a compromettere i computer delle vittime, usano una backdoor di base chiamata Trojan.Scieron per scaricare Trojan.Scieron.B sul computer”, riportarono i ricercatori di Symantec all’epoca. “Trojan.Scieron.B è simile ad un rootkit che nasconde alcune delle sue attività di rete e dispone di funzionalità backdoor più avanzate”.
Le connessioni di HeaderTip a Scarab provengono da sovrapposizioni di malware e infrastrutture a quelle di Scieron, con SentinelOne che chiama quest’ultimo un antenato della backdoor appena scoperta. Progettato come un file DLL a 32 bit e scritto in C ++, HeaderTip ha una dimensione di 9,7 KB e la sua funzionalità si limita ad agire come un pacchetto di primo stadio per il recupero dei moduli della fase successiva da un server remoto.
“Sulla base degli obiettivi noti dal 2020, compresi quelli contro l’Ucraina nel marzo 2022, oltre all’uso della lingua specifica, valutiamo con moderata fiducia che Scarab è di lingua cinese e opera per scopi di raccolta di informazioni geopolitiche”, hanno concluso nel post.