Organizaciones japonesas son el objetivo de un actor de amenazas de un estado-nación chino que aprovecha familias de malware como LODEINFO y NOOPDOOR para recopilar información confidencial de los hosts comprometidos mientras permanece sigilosamente bajo el radar en algunos casos durante un período de tiempo que varía de dos a tres años.
La empresa de ciberseguridad israelí Cybereason está rastreando la campaña bajo el nombre de Cuckoo Spear, y la atribuye como relacionada con un conjunto de intrusiones conocido denominado APT10, que también se conoce como Bronze Riverside, ChessMaster, Cicada, Cloudhopper, MenuPass, MirrorFace, Purple Typhoon (anteriormente Potassium) y Stone Panda.
Los hallazgos se producen semanas después de que JPCERT/CC advirtiera sobre los ciberataques organizados por el actor de amenazas dirigidos contra entidades japonesas utilizando las dos cepas de malware.
A principios de enero, ITOCHU Cyber & Intelligence reveló que había descubierto una versión actualizada de la puerta trasera LODEINFO que incorpora técnicas antianálisis, destacando el uso de correos electrónicos de phishing selectivo para propagar el malware.
Trend Micro, que originalmente acuñó el término MenuPass para describir al actor de amenazas, ha caracterizado a APT10 como un grupo paraguas que comprende dos clústeres que llama Earth Tengshe y Earth Kasha. Se sabe que el grupo de piratas informáticos está operativo al menos desde 2006.
Mientras que Earth Tengshe está vinculado a campañas que distribuyen SigLoader y SodaMaster, Earth Kasha se atribuye al uso exclusivo de LODEINFO y NOOPDOOR. Se ha observado que ambos subgrupos atacan aplicaciones públicas con el objetivo de exfiltrar datos e información en la red.
Se dice que Earth Tengshe también está relacionado con otro grupo con nombre en código Bronze Starlight (también conocido como Emperor Dragonfly o Storm-0401), que tiene un historial de operar familias de ransomware de corta duración como LockFile, Atom Silo, Rook, Night Sky, Pandora y Cheerscrypt.
Por otro lado, se ha descubierto que Earth Kasha cambia sus métodos de acceso iniciales explotando aplicaciones públicas desde abril de 2023, aprovechando fallas sin parchear en instancias de Array AG (CVE-2023-28461), Fortinet (CVE-2023-27997) y Proself (CVE-2023-45727) para distribuir LODEINFO y NOOPDOOR (también conocido como HiddenFace).
LODEINFO viene con varios comandos para ejecutar shellcode arbitrario, registrar pulsaciones de teclas, tomar capturas de pantalla, finalizar procesos y exfiltrar archivos a un servidor controlado por el actor. NOOPDOOR, que comparte similitudes de código con otra puerta trasera APT10 conocida como ANEL Loader, presenta una funcionalidad para cargar y descargar archivos, ejecutar shellcode y ejecutar más programas.
