Aktor ancaman berbahasa Mandarin yang dikenal sebagai Earth Lusca telah diamati menggunakan pintu belakang baru yang dijuluki KTLVdoor sebagai bagian dari serangan cyber yang menargetkan perusahaan perdagangan yang tidak disebutkan namanya yang berbasis di China.
Malware yang sebelumnya tidak dilaporkan ini ditulis dalam Golang, dan dengan demikian merupakan senjata lintas-platform yang mampu menargetkan sistem Microsoft Windows dan Linux.
“KTLVdoor adalah malware yang sangat tersembunyi yang menyamar sebagai berbagai utilitas sistem, yang memungkinkan penyerang untuk menjalankan berbagai tugas termasuk manipulasi file, eksekusi perintah, dan pemindaian port jarak jauh,” kata peneliti Trend Micro Cedric Pernet dan Jaromir Horejsi dalam analisis yang diterbitkan pada hari Rabu.
Beberapa alat yang ditiru KTLVdoor antara lain sshd, Java, SQLite, bash, dan edr-agent, dengan malware yang didistribusikan dalam bentuk pustaka tautan dinamis (.dll) atau objek bersama (.so).
Mungkin aspek yang paling tidak biasa dari gugus aktivitas tersebut adalah ditemukannya lebih dari 50 server perintah-dan-kendali (C&C), yang semuanya dihosting di perusahaan China, Alibaba, yang telah diidentifikasi berkomunikasi dengan varian malware, sehingga memunculkan kemungkinan bahwa infrastruktur tersebut dapat dipakai bersama dengan pelaku ancaman China lainnya.
Earth Lusca diketahui aktif setidaknya sejak 2021, mengatur serangan siber terhadap entitas sektor publik dan swasta di seluruh Asia, Australia, Eropa, dan Amerika Utara. Dinilai memiliki beberapa kesamaan taktis dengan rangkaian intrusi lain yang dilacak sebagai RedHotel dan APT27 (alias Budworm, Emissary Panda, dan Iron Tiger).
KTLVdoor, tambahan terkini pada gudang malware kelompok tersebut, sangat tersembunyi dan mendapatkan namanya dari penggunaan penanda yang disebut “KTLV” dalam berkas konfigurasinya yang mencakup berbagai parameter yang diperlukan untuk memenuhi fungsinya, termasuk server C&C untuk terhubung.
Setelah diinisialisasi, malware memulai kontak dengan server C&C secara berulang, menunggu instruksi lebih lanjut untuk dieksekusi pada host yang disusupi. Perintah yang didukung memungkinkannya mengunduh/mengunggah file, menghitung sistem file, meluncurkan shell interaktif, menjalankan shellcode, dan memulai pemindaian menggunakan ScanTCP, ScanRDP, DialTLS, ScanPing, dan ScanWeb, antara lain.
Meski begitu, tidak banyak yang diketahui tentang bagaimana malware tersebut didistribusikan dan apakah telah digunakan untuk menargetkan entitas lain di seluruh dunia.
“Alat baru ini digunakan oleh Earth Lusca, tetapi mungkin juga digunakan bersama dengan pelaku ancaman berbahasa Mandarin lainnya,” kata para peneliti. “Melihat bahwa semua server C&C menggunakan alamat IP dari penyedia Alibaba yang berbasis di China, kami bertanya-tanya apakah seluruh kemunculan malware baru ini dan server C&C bukanlah tahap awal pengujian alat baru.”