Kelompok ancaman persisten canggih (APT) yang diselaraskan oleh China Thewisikan telah dikaitkan dengan alat pergerakan lateral yang disebut Spellbinder yang dapat memfasilitasi serangan musuh di tengah-tengah (AITM).
“Spellbinder memungkinkan serangan musuh-di-tengah-tengah (AITM), melalui spoofing Autoconfiguration Alamat Autoconfiguration (SLAAC) IPv6, untuk bergerak secara lateral dalam jaringan yang dikompromikan, mencegat paket-paket dan mengarahkan lalu lintas yang sah.
Serangan itu membuka jalan bagi pengunduh jahat yang disampaikan dengan membajak mekanisme pembaruan perangkat lunak yang terkait dengan Sogou Pinyin. Downloader kemudian bertindak sebagai saluran untuk menjatuhkan wizardnet dengan kode backdoor modular.
Ini bukan pertama kalinya aktor ancaman Cina menyalahgunakan proses pembaruan perangkat lunak Sogou Pinyin untuk memberikan malware mereka sendiri. Pada Januari 2024, ESET merinci kelompok peretasan yang disebut sebagai Blackwood yang telah menggunakan implan bernama NSPX30 dengan memanfaatkan mekanisme pembaruan aplikasi perangkat lunak Metode Input Cina.
Kemudian awal tahun ini, perusahaan cybersecurity Slovaken mengungkapkan kluster ancaman lain yang dikenal sebagai Plushdaemon yang memanfaatkan teknik yang sama untuk mendistribusikan pengunduh khusus yang disebut Littledaemon.
TheWizards Apt diketahui menargetkan kedua individu dan sektor perjudian di Kamboja, Hong Kong, daratan Cina, Filipina, dan Uni Emirat Arab.
Bukti menunjukkan bahwa alat AITM ipv6 spellbinder telah digunakan oleh aktor ancaman sejak setidaknya 2022. Sementara vektor akses awal yang tepat yang digunakan dalam serangan tidak diketahui pada tahap ini, akses yang berhasil diikuti oleh pengiriman arsip zip yang berisi empat file yang berbeda: avgapplicationFrameHost.exe, wsc.dll, win .ap.ap.ap.ap.ap.ap.ap.ap .ap.ap .ap.ap.ap.ap.
Aktor ancaman kemudian melanjutkan untuk menginstal “winpcap.exe” dan menjalankan “avgapplicationFrameHost.exe,” yang terakhir dilecehkan untuk mengidap DLL. File DLL kemudian membaca shellcode dari “log.dat” dan mengeksekusinya dalam memori, menyebabkan Spellbinder diluncurkan dalam proses.
“Spellbinder menggunakan perpustakaan WinPcap untuk menangkap paket dan membalas paket saat dibutuhkan,” Muñoz menjelaskan. “Ini memanfaatkan protokol penemuan jaringan IPv6 di mana pesan ICMPV6 Router Advertisement (RA) mengiklankan bahwa router berkemampuan IPv6 hadir dalam jaringan sehingga host yang mendukung IPv6, atau meminta router yang berkaitan dengan IPv6, dapat mengadopsi perangkat iklan sebagai gerbang default mereka.”
Dalam satu kasus serangan yang diamati pada tahun 2024, para aktor ancaman dikatakan telah memanfaatkan metode ini untuk membajak proses pembaruan perangkat lunak untuk Tencent QQ di tingkat DNS untuk melayani versi trojanisasi yang kemudian menggunakan WizardNet, sebuah backdoor modular yang dilengkapi untuk menerima dan menjalankan .NET Payloads pada host yang terserang.
Spellbinder menarik ini dengan mencegat kueri DNS untuk domain pembaruan perangkat lunak (“update.browser.qq[.]com “) dan mengeluarkan respons DNS dengan alamat IP server yang dikendalikan penyerang (” 43.155.62[.]54 “) Hosting pembaruan berbahaya.
Alat lain yang patut diperhatikan dalam arsenal The -Wizards adalah Darknights, yang juga disebut Darknimbus oleh Trend Micro dan telah dikaitkan dengan kelompok peretasan Tiongkok lain yang dilacak sebagai Earth Minotaur. Yang mengatakan, kedua cluster diperlakukan sebagai operator independen, mengutip perbedaan dalam perkakas, infrastruktur, dan menargetkan jejak kaki.
Sejak itu muncul bahwa kontraktor kementerian keamanan publik Tiongkok bernama Sichuan Dianke Network Security Technology Co., Ltd. (alias UPSEC) adalah pemasok malware Darknimbus.
“Sementara TheWizards menggunakan backdoor yang berbeda untuk Windows (WizardNet), server pembajakan dikonfigurasi untuk melayani Darknights untuk memperbarui aplikasi yang berjalan pada perangkat Android,” kata Muñoz. “Ini menunjukkan bahwa Dianke Network Security adalah quartermaster digital untuk TheWizards APT Group.”
