Aktor ancaman yang dikenal sebagai Space Pirates telah dikaitkan dengan kampanye berbahaya yang menargetkan organisasi Teknologi Informasi Rusia (TI) dengan malware yang sebelumnya tidak berdokumen yang disebut Agen Luckystrike.
Kegiatan ini terdeteksi pada November 2024 oleh Solar, lengan keamanan siber perusahaan telekomunikasi negara Rusia Rostelecom. Ini melacak aktivitas dengan nama erudite Mogwai.
Serangan-serangan itu juga ditandai dengan penggunaan alat-alat lain seperti DEED Rat, juga disebut Shadowpad Light, dan versi khusus dari utilitas proxy bernama Stowaway, yang sebelumnya telah digunakan oleh grup peretasan terkait-Cina lainnya.
“Erudite Mogwai adalah salah satu kelompok APT aktif yang berspesialisasi dalam pencurian informasi dan spionase rahasia,” kata peneliti tenaga surya. “Sejak setidaknya 2017, kelompok ini telah menyerang lembaga pemerintah, departemen TI dari berbagai organisasi, serta perusahaan yang terkait dengan industri berteknologi tinggi seperti kedirgantaraan dan tenaga listrik.”
Aktor ancaman pertama kali didokumentasikan secara publik oleh teknologi positif pada tahun 2022, merinci penggunaan eksklusif malware tikus akta. Grup ini diyakini berbagi tumpang tindih taktis dengan grup peretasan lain yang disebut Webworm. Ia diketahui menargetkan organisasi di Rusia, Georgia, dan Mongolia.
Dalam salah satu serangan yang menargetkan pelanggan sektor pemerintah, Solar mengatakan menemukan penyerang mengerahkan berbagai alat untuk memfasilitasi pengintaian, sementara juga menjatuhkan agen Luckystrike, sebuah backdoor .NET multi-fungsional yang menggunakan Microsoft OneDrive untuk komando-dan-kontrol (C2).
“Para penyerang memperoleh akses ke infrastruktur dengan mengkompromikan layanan web yang dapat diakses publik selambat-lambatnya Maret 2023, dan kemudian mulai mencari 'buah rendah' dalam infrastruktur,” kata Solar. “Selama 19 bulan, para penyerang perlahan -lahan menyebar ke seluruh sistem pelanggan sampai mereka mencapai segmen jaringan yang terhubung dengan pemantauan pada November 2024.”
Yang juga perlu diperhatikan adalah penggunaan versi StuWAWY yang dimodifikasi untuk mempertahankan hanya fungsionalitas proxy -nya, di samping menggunakan LZ4 sebagai algoritma kompresi, menggabungkan XXTEA sebagai algoritma enkripsi, dan menambahkan dukungan untuk protokol transport quic.
“Mogwai yang terpelajar memulai perjalanan mereka dalam memodifikasi utilitas ini dengan mengurangi fungsionalitas yang tidak mereka butuhkan,” kata Solar. “Mereka melanjutkan dengan suntingan kecil, seperti mengganti nama fungsi dan mengubah ukuran struktur (mungkin untuk merobohkan tanda-tanda deteksi yang ada). Saat ini, versi Siswaway yang digunakan oleh grup ini dapat disebut garpu penuh.”
