Chińsko powiązana grupa zaawansowanego zagrożenia (APT) przeprowadziła precyzyjnie ukierunkowaną kampanię szpiegowską, w której poprzez zatrucie zapytań systemu DNS dostarczała tylną furtkę o nazwie MgBot. Ataki były skierowane na ofiary w Turcji, Chinach i Indiach, a aktywność obserwowano w okresie od listopada 2022 do listopada 2024 roku.
Firma Kaspersky powiązała tę kampanię z grupą znaną jako Evasive Panda (śledzoną również pod nazwami Bronze Highland, Daggerfly i StormBamboo), ocenianą jako aktywną co najmniej od 2012 roku. Jak wyjaśnia badacz Kaspersky, Fatih Şensoy, grupa „głównie wykonywała ataki typu adversary-in-the-middle (AitM) na wybrane ofiary”, stosując techniki polegające na umieszczaniu loaderów w konkretnych lokalizacjach oraz przechowywaniu zaszyfrowanych komponentów złośliwego oprogramowania na serwerach kontrolowanych przez atakujących, które były rozwiązywane jako odpowiedzi na specyficzne żądania DNS.
Metoda ta, znana jako DNS poisoning lub AitM, nie jest nowością w arsenale Evasive Panda. Już w kwietniu 2023 roku firma ESET wskazywała na przypadek, w którym atakujący mogli dostarczyć trojanizowane wersje legalnych aplikacji (np. Tencent QQ) ofierze będącej organizacją pozarządową w Chinach, wykorzystując albo kompromitację łańcucha dostaw, albo atak typu AitM. W sierpniu 2024 roku raport Volexity ujawnił natomiast przypadek kompromitacji jednego z dostawców usług internetowych (ISP), gdzie DNS poisoning posłużył do rozsyłania złośliwych aktualizacji do konkretnych celów.
W badaniach Kaspersky zwrócono uwagę, że Evasive Panda w kampaniach stosowała podstawiane aktualizacje popularnych aplikacji jako przynętę. Przykłady to rzekome aktualizacje dla SohuVA (usługa streamingowa firmy Sohu) dostarczane z domeny „p2p.hd.sohu.com[.]cn”, a także fałszywe aktualizery dla iQIYI Video, IObit Smart Defrag i Tencent QQ. Sposób działania polegał na tym, że odpowiedź DNS dotycząca danej domeny była zmieniana tak, by wskazywała na serwer kontrolowany przez atakujących — prawdopodobnie w wyniku zatrucia DNS — co umożliwiało serwowaniu złośliwego pliku „aktualizacji”.
Typowy łańcuch ataku opisany przez Kaspersky zaczyna się od loadera uruchamiającego shellcode, który następnie pobiera zaszyfrowany, drugostopniowy shellcode zapakowany jako plik PNG. Ten plik był pobierany z pozornie legalnej witryny, takiej jak dictionary[.]com, ale adres IP strony był manipulowany tak, aby zależnie od lokalizacji ofiary i jej dostawcy internetu przekierowywał na serwer atakującego. Dokładna technika zatruwania odpowiedzi DNS nie została jednoznacznie ustalona; badacze wskazują dwie możliwe hipotezy: kompromitację infrastruktury ISP (w tym instalację „implantu” na urządzeniach brzegowych sieci) lub włamanie do routera/zasad ruchu sieciowego u samej ofiary.
Żądanie HTTP, które pobiera drugi etap shellcode, zawiera również numer wersji systemu Windows zainstalowanego na maszynie ofiary. To sugeruje, że atakujący chcieli selekcjonować cele według wersji systemu operacyjnego i dostosowywać dalsze kroki ataku. Kaspersky zwraca też uwagę, że atakujący generowali unikatowy, zaszyfrowany plik drugiego shellcode dla każdej ofiary — sposób mający utrudnić wykrycie i analizę przez obronę.
W dalszej fazie ataku wykorzystywany jest wtórny loader o nazwie „libpython2.4.dll”, który polega na załadowaniu przemianowanego, starszego pliku „python.exe” (tzw. sideloading). Po uruchomieniu pobiera on i odszyfrowuje kolejny etap z pliku zapisanego lokalnie jako C:ProgramDataMicrosofteHomeperf.dat — pliku zawierającego odszyfrowany ładunek uzyskany w poprzednim kroku. Kaspersky opisuje tu złożony proces: najpierw atakujący stosowali prostą operację XOR do wstępnego odszyfrowania zasobu, a następnie zapisali go do perf.dat używając niestandardowego połączenia funkcji Microsoft DPAPI i algorytmu RC5. Celem tej hybrydowej metody szyfrowania było związanie odszyfrowanych danych z konkretnym systemem, co znacząco utrudnia przechwycenie i analizę ładunku przez badaczy.
Ostateczny odszyfrowany kod to wariant złośliwego modułu MgBot, który wtłaczany jest przez wtórny loader do legalnego procesu svchost.exe. MgBot to modułowa implantacja zdolna do szerokiego zakresu działań: zbierania plików, rejestrowania naciśnięć klawiszy (keylogging), przechwytywania zawartości schowka, nagrywania dźwięku oraz kradzieży danych uwierzytelniających z przeglądarek. Takie możliwości pozwalają utrzymać długotrwałą i ukrytą obecność na zaatakowanych systemach.
W kontekście szerszego obrazu zagrożeń Kaspersky i inni badacze podkreślają, że Evasive Panda jest jednym z wielu chińsko powiązanych klastrów aktywności, które w ostatnich latach wykorzystywały techniki AitM i DNS poisoning do uzyskania początkowego dostępu lub rozprzestrzeniania się w sieciach ofiar. ESET w swoim śledzeniu wymienia nawet dziesięć aktywnych grup z Chin, które stosowały podobne metody, w tym m.in. LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon i FontGoblin.
Podsumowując, analiza Kaspersky pokazuje, że Evasive Panda stosuje zaawansowane i wieloetapowe metody omijania zabezpieczeń — od manipulacji odpowiedziami DNS, przez niestandardowe szyfrowanie i sideloading, aż po modularyzowaną implantację MgBot — co pozwala jej prowadzić ukierunkowane kampanie szpiegowskie z długotrwałą, trudną do wykrycia obecnością na systemach ofiar.