Sebuah kelompok negara-bangsa yang terkait dengan Tiongkok bernama TAG-112 menyusupi media Tibet dan situs-situs universitas dalam kampanye spionase dunia maya baru yang dirancang untuk memfasilitasi penyampaian perangkat pasca-eksploitasi Cobalt Strike untuk pengumpulan informasi lanjutan.
“Para penyerang menyematkan JavaScript berbahaya di situs-situs ini, yang memalsukan kesalahan sertifikat TLS untuk mengelabui pengunjung agar mengunduh sertifikat keamanan yang disamarkan,” kata Insikt Group dari Recorded Future.
“Malware ini, yang sering digunakan oleh pelaku ancaman untuk akses jarak jauh dan pasca eksploitasi, menyoroti berlanjutnya fokus spionase dunia maya terhadap entitas Tibet.”
Kompromi tersebut telah diterapkan pada kelompok ancaman yang disponsori negara yang disebut TAG-112, yang digambarkan sebagai kemungkinan subkelompok dari kelompok lain yang dilacak sebagai Evasive Panda (alias Bronze Highland, Daggerfly, StormBamboo, dan TAG-102) karena tumpang tindih taktis dan penargetan historis mereka terhadap entitas Tibet.
Dua situs komunitas Tibet yang dibobol oleh kolektif musuh pada akhir Mei 2024 adalah Tibet Post (tibetpost[.]net) dan Universitas Tantra Gyudmed (universitas gyudmedtantric[.]organisasi).
Secara khusus, telah ditemukan bahwa situs web yang disusupi dimanipulasi untuk mendorong pengunjung situs tersebut mengunduh file executable berbahaya yang disamarkan sebagai “sertifikat keamanan” yang memuat muatan Cobalt Strike pada saat eksekusi.
JavaScript yang memungkinkan hal ini dikatakan telah diunggah ke situs yang kemungkinan besar menggunakan kerentanan keamanan dalam sistem manajemen konten mereka, Joomla.
“JavaScript berbahaya dipicu oleh peristiwa window.onload,” kata Recorded Future. “Pertama-tama ia memeriksa sistem operasi pengguna dan jenis browser web; ini kemungkinan untuk menyaring sistem operasi non-Windows, karena fungsi ini akan menghentikan skrip jika Windows tidak terdeteksi.”
Informasi browser (yaitu Google Chrome atau Microsoft Edge) kemudian dikirim ke server jarak jauh (update.maskrisks[.]com), yang mengirimkan kembali templat HTML yang merupakan versi modifikasi dari halaman kesalahan sertifikat TLS browser masing-masing yang biasanya ditampilkan ketika ada masalah dengan sertifikat TLS host.
JavaScript, selain menampilkan peringatan sertifikat keamanan palsu, secara otomatis memulai pengunduhan sertifikat keamanan yang seharusnya untuk domain *.dnspod[.]cn, tetapi, pada kenyataannya, adalah executable bertanda tangan sah yang melakukan sideload muatan Cobalt Strike Beacon menggunakan side-loading DLL.
Perlu diperhatikan pada tahap ini bahwa situs web Tibet Post secara terpisah disusupi oleh aktor Evasive Panda sehubungan dengan serangan lubang air dan rantai pasokan yang menargetkan pengguna Tibet setidaknya sejak September 2023. Serangan tersebut menyebabkan penerapan pintu belakang yang dikenal sebagai MgBot dan Nightdoor, ESET terungkap awal Maret ini.
Terlepas dari persimpangan taktis yang signifikan ini, Recorded Future mengatakan pihaknya menjaga kedua set intrusi tetap berbeda karena “perbedaan kematangan” di antara keduanya.
“Aktivitas yang diamati oleh TAG-112 tidak secanggih yang terlihat pada TAG-102,” katanya. “Misalnya, TAG-112 tidak menggunakan kebingungan JavaScript dan menggunakan Cobalt Strike, sedangkan TAG-102 memanfaatkan malware khusus. TAG-112 kemungkinan merupakan subgrup dari TAG-102, yang berupaya mencapai persyaratan intelijen yang sama atau serupa.”