Aktor ancaman yang sebelumnya tidak terdokumentasi, yang kemungkinan memiliki hubungan dengan kelompok berbahasa Mandarin, secara dominan menargetkan produsen drone di Taiwan sebagai bagian dari kampanye serangan cyber yang dimulai pada tahun 2024.
Trend Micro melacak musuh dengan nama samaran TIDRONEyang menyatakan aktivitas tersebut didorong oleh kegiatan spionase mengingat fokusnya pada rantai industri yang terkait dengan militer.
Vektor akses awal yang tepat yang digunakan untuk membobol target saat ini tidak diketahui, dengan analisis Trend Micro mengungkap penyebaran malware khusus seperti CXCLNT dan CLNTEND menggunakan alat desktop jarak jauh seperti UltraVNC.
Kesamaan menarik yang diamati pada berbagai korban adalah adanya perangkat lunak perencanaan sumber daya perusahaan (ERP) yang sama, yang meningkatkan kemungkinan terjadinya serangan rantai pasokan.
Rangkaian serangan selanjutnya melewati tiga tahap berbeda yang dirancang untuk memfasilitasi peningkatan hak istimewa melalui penghilangan Kontrol Akses Pengguna (UAC), pembuangan kredensial, dan penghindaran pertahanan dengan menonaktifkan produk antivirus yang diinstal pada host.
Kedua backdoor tersebut dimulai dengan melakukan sideloading DLL jahat melalui aplikasi Microsoft Word, yang memungkinkan pelaku ancaman untuk mengumpulkan berbagai informasi sensitif,
CXCLNT dilengkapi dengan kemampuan dasar mengunggah dan mengunduh berkas, serta fitur untuk menghapus jejak, mengumpulkan informasi korban seperti daftar berkas dan nama komputer, serta mengunduh berkas PE (executable portabel) dan DLL tahap berikutnya untuk dieksekusi.
CLNTEND, pertama kali terdeteksi pada bulan April 2024, adalah alat akses jarak jauh (RAT) yang ditemukan mendukung berbagai protokol jaringan untuk komunikasi, termasuk TCP, HTTP, HTTPS, TLS, dan SMB (port 445).
“Konsistensi dalam waktu kompilasi berkas dan waktu operasi pelaku ancaman dengan aktivitas spionase Tiongkok lainnya mendukung penilaian bahwa kampanye ini kemungkinan dilakukan oleh kelompok ancaman berbahasa Tiongkok yang belum teridentifikasi,” kata peneliti keamanan Pierre Lee dan Vickie Su.