Um novo e misterioso grupo APT foi descoberto visando provedores de serviços de telecomunicações na Europa e na Ásia como parte do que parece ser uma campanha de ciberespionagem, de acordo com uma investigação conjunta da SentinelLabs e QGroup GmbH.
De acordo com Aleksandar Milenkoski, pesquisador do SentinelLabs, o obscuro grupo APT está usando um backdoor modular sofisticado baseado em Lua, a linguagem de programação leve e multiplataforma projetada principalmente para uso incorporado em aplicativos.
“Sandman implantou um novo backdoor modular utilizando a plataforma LuaJIT, uma ocorrência relativamente rara no cenário de ameaças”, disse Milenkoski, observando que toda a operação é caracterizada por uma abordagem cautelosa e deliberada: movimentos mínimos e estratégicos dentro de redes infectadas e um objetivo maior de minimizar o risco de detecção.
O ator de ameaça avançado, identificado como Sandman, tem sido visto visando provedores de telecomunicações no Oriente Médio, na Europa Ocidental e no subcontinente do Sul da Ásia.
Durante uma apresentação na conferência de segurança LABScon, Milenkoski explicou que o grupo está usando um malware chamado LuaDream que é capaz de exfiltrar informações do sistema e do usuário, abrindo caminho para ataques adicionais de precisão.
“A implementação do LuaDream indica um projeto bem executado, mantido e desenvolvido ativamente de uma escala considerável”, disse o pesquisador do SentinelLabs, observando que é difícil definir a identidade do grupo APT.
“Os 36 componentes distintos do LuaDream que identificamos e o suporte a múltiplos protocolos para comunicação C2 indicam um projeto de escala considerável. A cadeia de teste LuaDream foi projetada para evitar a detecção e impedir a análise enquanto implanta o malware diretamente na memória”, acrescentou.
SentinelLabs esclareceu que o malware LuaDream não faz backdoor na plataforma LuaJIT. Em vez disso, o LuaJIT é usado pelo agente da ameaça como um veículo para implantar backdoors em organizações visadas.
Embora os dados disponíveis apontem para um adversário de ciberespionagem com forte foco em atingir empresas de telecomunicações em diversas regiões geográficas, Milenkoski disse que LuaDream não pode ser associado a nenhum ator de ameaça conhecido, sugerindo que pode ser o trabalho de um fornecedor terceirizado de hacker contratado.
Os pesquisadores do SentinelLabs também chamaram a atenção para o uso da linguagem de programação Lua, observando que o uso de LuaJIT no contexto de malware APT é muito raro.
No passado, os caçadores de ameaças viram malware altamente modular que utiliza Lua associado a APTs de ponta como Flame, Animal Farm e Project Sauron, mas a descoberta do Sandman APT sugere que o paradigma de desenvolvimento se estendeu a um conjunto mais amplo de atores, SentinelLabs pesquisadores postularam na conferência.
Curiosamente, o malware LuaDream tem características que o ligam a outra estirpe de malware chamada “DreamLand”, identificada pela Kaspersky em março de 2023 durante atividades APT contra uma entidade governamental no Paquistão.
Estas correlações sugerem uma possível campanha mais ampla, com as atividades de Sandman talvez remontando a 2022, disse Milenkoski.