Il gruppo criminale informatico filo-governativo TA413 (noto anche come LuckyCat) legato alla Cina è stato ricondotto come responsabile di attacchi contro l’amministrazione centrale tibetana.
Nell’ambito della campagna di spionaggio, il gruppo APT ha utilizzato i bug scoperti di recente nel firewall di Sophos e Microsoft Office (CVE-2022-1040 e CVE-2022-30190) per implementare la backdoor LOWZERO precedentemente sconosciuta.
Gli obiettivi principali erano le organizzazioni associate alla comunità tibetana, comprese le imprese associate al governo tibetano, come affermato nel rapporto di Recorded Future.
Gli attacchi LuckyCat contro organizzazioni e individui associati alla comunità tibetana sono in corso almeno dal 2020 utilizzando malware come ExileRAT, Sepulcher e un’estensione del browser Mozilla Firefox dannosa denominata FriarFox.
L’attacco di spear-phishing ha utilizzato, in questo caso, un documento RTF dannoso che sfruttava i difetti nell’editor di Microsoft per fornire un’infezione di LOWZERO precedentemente configurato.
Un’altra email ricevuta da una vittima tibetana utilizzava un allegato di Microsoft Word ospitato su Google Firebase che tentava di sfruttare la vulnerabilità di Follina per eseguire un comando PowerShell e quindi scaricare una backdoor da un server remoto.
La backdoor LOWZERO è modulare e carica i moduli specifici richiesti da C2 se la macchina compromessa è di interesse per l’attaccante.
I ricercatori sono stati in grado di collegare diverse campagne alle attività del gruppo poiché gli attori delle minacce hanno utilizzato regolarmente gli stessi indirizzi di posta elettronica per diversi anni (come tseringkanyaq@yahoo[.]com e mediabureauin@gmail[.]com).
Secondo gli esperti, il gruppo continua a implementare nuove funzionalità, facendo affidamento su TTP (tattiche, tecniche e procedure) ben collaudate.