Gli esperti di sicurezza informatica della società di antivirus ESET hanno scoperto la backdoor modulare SideWalk utilizzata da un gruppo APT chiamato SparklingGoblin. Questa backdoor ha molto in comune con la backdoor CROSSWALK utilizzata dal gruppo.
SideWalk è una backdoor modulare che può caricare dinamicamente moduli aggiuntivi inviati dal server C2, utilizzare Google Docs per attivare la fase successiva dell’attacco (dead drop resolver) e la piattaforma Cloudflare Workers come server C2. Può anche gestire correttamente la comunicazione proxy.
Il gruppo di hacker si rivolge principalmente al settore accademico nell’est e nel sud-est asiatico, ma ha anche mostrato un maggiore interesse per l’istruzione in Canada, le società di media negli Stati Uniti e almeno una società di computer non nota negli Stati Uniti.
Non è noto quali società siano state attaccate e quando si siano verificati gli hack. Non si sa nemmeno da dove provenga il gruppo, tuttavia ESET ha notato che alcune delle procedure APT sono state descritte in un blog in lingua cinese, suggerendo che potrebbe avere sede nell’Asia orientale.
ESET classifica questo gruppo come APT che utilizzano “metodi di hacking continui, nascosti e sofisticati per ottenere l’accesso e rimanere all’interno di un sistema per lunghi periodi di tempo con conseguenze potenzialmente devastanti”.
Secondo ESET, un insieme di strumenti simile utilizzato da SparklingGoblin è stato utilizzato in una serie di attacchi alle università di Hong Kong da parte di membri del Gruppo Winnti.