Aktor ancaman yang terkait dengan China yang dikenal sebagai UNC5174 telah dikaitkan dengan kampanye baru yang memanfaatkan varian malware yang diketahui dijuluki Snowlight dan alat sumber terbuka baru yang disebut Vshell untuk menginfeksi sistem Linux.
“Aktor-aktor ancaman semakin menggunakan alat open source dalam persenjataan mereka untuk efektivitas biaya dan kebingungan untuk menghemat uang dan, dalam hal ini, masuk akal dengan kumpulan non-negara yang disponsori dan seringkali kurang teknis (mis. Skrip Kiddies), dengan demikian membuat atribusi menjadi lebih sulit,” peneliti Sysdig Alessandrai Rizzo.
“Ini tampaknya berlaku terutama untuk aktor ancaman khusus ini, yang telah berada di bawah radar selama setahun terakhir sejak berafiliasi dengan pemerintah Cina.”
UNC5174, also referred to as Uteus (or Uetus), was previously documented by Google-owned Mandiant as exploiting security flaws in Connectwise ScreenConnect and F5 BIG-IP software to deliver a C-based ELF downloader named SNOWLIGHT, which is designed to fetch a Golang tunneler dubbed GOHEAVY from infrastructure tied to a publicly available command-and-control (C2) framework known as Supershell.
Juga digunakan dalam serangan itu adalah Goreverse, sebuah punggung shell terbalik yang tersedia untuk umum ditulis di Golang yang beroperasi di atas Secure Shell (SSH).
Badan Nasional Prancis untuk Keamanan Sistem Informasi (ANSSI), dalam laporan ikhtisar ancaman cyber untuk tahun 2024 yang diterbitkan bulan lalu, mengatakan pihaknya mengamati penyerang yang menggunakan tradecraft yang sama seperti halnya UNC5174 untuk mempersenjatai cacat keamanan di Ivanti Cloud (CSA) seperti CVE80 dan CVE8, CVE8, CVE8, CVE8, CVE8, CVE8, CVE8, CVE8. Kontrol dan jalankan kode sewenang -wenang.
“Canggih dan bijaksana, set intrusi ini ditandai dengan penggunaan alat intrusi yang sebagian besar tersedia sebagai open source dan oleh – yang sudah dilaporkan secara publik – penggunaan kode rootkit,” kata ANSSI.
Perlu dicatat bahwa baik Snowlight dan Vshell mampu menargetkan sistem macOS Apple, dengan yang terakhir didistribusikan sebagai aplikasi cloudflare authenticator palsu sebagai bagian dari rantai serangan yang belum ditentukan, menurut analisis artefak yang diunggah ke virustotal dari Cina pada Oktober 2024.
Dalam rantai serangan yang diamati oleh Sysdig pada akhir Januari 2025, Snowlight Malware bertindak sebagai penetes untuk muatan yang tidak dimasukkan, dalam memori yang disebut Vshell, Trojan akses jarak jauh (tikus) yang banyak digunakan oleh penjahat cyber berbahasa Cina. Vektor akses awal yang digunakan untuk serangan saat ini tidak diketahui.
Secara khusus, akses awal digunakan untuk menjalankan skrip bash berbahaya (“download_backd.sh”) yang menggunakan dua binari yang terkait dengan snowlight (dnsloger) dan sliver (System_worker), yang keduanya digunakan untuk mengatur persistensi dan membangun komunikasi dengan server C2.
Tahap akhir serangan memberikan Vshell melalui Snowlight melalui permintaan yang dibuat khusus ke server C2, sehingga memungkinkan remote control dan eksploitasi pasca-kompromi lebih lanjut.
“[VShell] Bertindak sebagai tikus (Remote Access Trojan), yang memungkinkan para pelaku kekerasan untuk menjalankan perintah sewenang-wenang dan mengunduh atau mengunggah file, “kata Rizzo.” Snowlight dan Vshell menimbulkan risiko yang signifikan untuk organisasi karena teknik-teknik yang tidak tersembunyi dan canggih.
Pengungkapan itu terjadi ketika TeamT5 mengungkapkan bahwa kelompok peretasan China-Nexus kemungkinan mengeksploitasi kelemahan keamanan dalam peralatan Ivanti (CVE-2025-0282 dan CVE-2025-22457) untuk mendapatkan akses awal dan menggunakan malware Spawnchimera.
Serangan itu, kata perusahaan cybersecurity Taiwan, menargetkan banyak sektor yang mencakup hampir 20 negara berbeda seperti Austria, Australia, Prancis, Spanyol, Jepang, Korea Selatan, Belanda, Singapura, Taiwan, Uni Emirat Arab, Inggris, dan Amerika Serikat.
Temuan ini juga cocok dengan tuduhan dari Cina bahwa Badan Keamanan Nasional AS (NSA) meluncurkan serangan cyber “tingkat lanjut” selama pertandingan musim dingin Asia pada bulan Februari, menunjuk jauh ke tiga agen NSA untuk serangan berulang pada infrastruktur informasi kritis China serta terhadap Huawei.
“Di Asian Winter Games kesembilan, pemerintah AS melakukan serangan siber pada sistem informasi permainan dan infrastruktur informasi penting di Heilongjiang,” kata juru bicara kementerian luar negeri Lin Jian. “Langkah ini sangat mengerikan karena membahayakan keamanan infrastruktur informasi kritis Tiongkok, pertahanan nasional, keuangan, masyarakat, dan produksi serta informasi pribadi warganya.”
