Operator botnet Quad7 yang misterius secara aktif berevolusi dengan membahayakan beberapa merek router SOHO dan peralatan VPN dengan memanfaatkan kombinasi kelemahan keamanan yang diketahui dan tidak diketahui.
Sasarannya mencakup perangkat dari TP-LINK, Zyxel, Asus, Axentra, D-Link, dan NETGEAR, menurut laporan baru oleh perusahaan keamanan siber Prancis Sekoia.
“Operator botnet Quad7 tampaknya mengembangkan perangkat mereka, memperkenalkan pintu belakang baru, dan menjajaki protokol baru, dengan tujuan meningkatkan kerahasiaan dan menghindari kemampuan pelacakan kotak relai operasional (ORB) mereka,” kata peneliti Felix Aimé, Pierre-Antoine D., dan Charles M.
Quad7, disebut juga 7777, pertama kali didokumentasikan secara publik oleh peneliti independen Gi7w0rm pada bulan Oktober 2023, yang menyoroti pola klaster aktivitas yang menjerat router TP-Link dan perekam video digital (DVR) Dahua ke dalam botnet.
Botnet tersebut, yang mendapatkan namanya dari fakta bahwa ia membuka port TCP 7777 pada perangkat yang disusupi, telah diamati melakukan brute-forcing pada instans Microsoft 3665 dan Azure.
“Botnet tersebut juga tampaknya menginfeksi sistem lain seperti MVPower, Zyxel NAS, dan GitLab, meskipun dalam jumlah yang sangat sedikit,” Jacob Baines dari VulnCheck mencatat awal Januari ini. “Botnet tersebut tidak hanya memulai layanan pada port 7777. Botnet tersebut juga menjalankan server SOCKS5 pada port 11228.”
Analisis selanjutnya oleh Sekoia dan Tim Cymru selama beberapa bulan terakhir menemukan bahwa botnet tersebut tidak hanya telah membahayakan router TP-Link di Bulgaria, Rusia, AS, dan Ukraina, tetapi sejak itu juga telah meluas hingga menargetkan router ASUS yang memiliki port TCP 63256 dan 63260 terbuka.
Temuan terbaru menunjukkan bahwa botnet terdiri dari tiga cluster tambahan –
- xlogin (alias botnet 7777) – Botnet yang terdiri dari router TP-Link yang dikompromikan yang memiliki kedua port TCP 7777 dan 11288 dibuka
- alogin (alias botnet 63256) – Botnet yang terdiri dari router ASUS yang dikompromikan yang memiliki kedua port TCP 63256 dan 63260 dibuka
- rlogin – Botnet yang terdiri dari perangkat Ruckus Wireless yang disusupi yang memiliki port TCP 63210 yang dibuka
- axlogin – Botnet yang mampu menargetkan perangkat NAS Axentra (belum terdeteksi di alam liar)
- zylogin – Botnet yang terdiri dari peralatan VPN Zyxel yang disusupi yang memiliki port TCP 3256 yang dibuka
Sekoia mengatakan kepada The Hacker News bahwa negara dengan jumlah infeksi terbanyak adalah Bulgaria (1.093), AS (733), dan Ukraina (697).
Dalam tanda evolusi taktis lebih lanjut, aktor ancaman kini menggunakan pintu belakang baru yang dijuluki UPDTAE yang membuat shell terbalik berbasis HTTP untuk membuat kendali jarak jauh pada perangkat yang terinfeksi dan mengeksekusi perintah yang dikirim dari server perintah-dan-kendali (C2).
Saat ini belum jelas apa tujuan pasti dari botnet tersebut atau siapa yang berada di belakangnya, tetapi perusahaan tersebut mengatakan aktivitas tersebut kemungkinan merupakan hasil kerja aktor ancaman yang disponsori negara China.
“Mengenai 7777 [botnet]”Kami hanya melihat upaya penyerangan dengan kekerasan terhadap akun Microsoft 365,” kata Aimé kepada publikasi tersebut. “Untuk botnet lainnya, kami masih belum tahu bagaimana cara menggunakannya.”
“Namun, setelah pertukaran dengan peneliti lain dan temuan baru, kami hampir yakin bahwa operator tersebut kemungkinan besar disponsori negara Tiongkok daripada penjahat dunia maya yang melakukan kejahatan tersebut. [business email compromise]”.”
“Kami melihat pelaku ancaman mencoba untuk lebih sembunyi-sembunyi dengan menggunakan malware baru pada perangkat edge yang disusupi. Tujuan utama di balik tindakan itu adalah untuk mencegah pelacakan botnet yang berafiliasi.”