Uma campanha recente do HiatusRAT tem como alvo um sistema de aquisição militar dos EUA para reconhecimento, relata a empresa de segurança cibernética Lumen.
Observado inicialmente no início do ano, o HiatusRAT tem como alvo roteadores de alta largura de banda normalmente usados por empresas de médio porte, permitindo que invasores executem comandos, exfiltrem dados e estabeleçam uma rede proxy secreta.
Ativa pelo menos desde junho de 2022, a ameaça tinha como alvo organizações na Europa e na América Latina, com pelo menos 100 vítimas identificadas até março de 2023.
Seguindo relatório inicial no HiatusRAT, o agente da ameaça mudou de tática e, em ataques observados em junho de 2023, mudou o foco para realizar o reconhecimento contra um sistema de aquisição militar dos EUA e visar organizações com sede em Taiwan.
De acordo com um novo relatório Lumeno adversário continuou a operação sem impedimentos pela exposição pública e recompilou seus binários de malware para novas arquiteturas – incluindo Arm, Intel 80386 e x86-64 – hospedando-os em servidores privados virtuais (VPSs) recém-adquiridos.
Um desses VPSs foi usado quase exclusivamente em ataques direcionados a entidades taiwanesas, incluindo uma organização governamental municipal e várias empresas comerciais, incluindo fabricantes de semicondutores e produtos químicos.
A Lumen também identificou um nó VPS diferente sendo usado para transferir dados com um servidor que o Departamento de Defesa dos EUA usa para propostas e envios de contratos.
“Dado que este site estava associado a propostas de contratos, suspeitamos que o ator da ameaça poderia reunir informações publicamente disponíveis sobre requisitos militares ou procurar organizações envolvidas na Base Industrial de Defesa (DIB)”, observa Lumen.
Amostras de malware recém-observadas usaram o mesmo servidor de pulsação e upload para comunicação dos binários anteriores. A partir deste mês, o agente da ameaça está hospedando a carga útil em um VPS previamente identificado.
Uma análise da comunicação com o servidor do malware revelou que mais de 91% das conexões de entrada vieram de Taiwan, principalmente de dispositivos de ponta fabricados pela Ruckus.
De acordo com Lumen, a atividade HiatusRAT observada não parece se sobrepor a agentes de ameaças conhecidos, embora a recente mudança no direcionamento esteja alinhada com “relatórios recentes de operações orientadas pela China contra entidades baseadas nos EUA”.
“Suspeitamos que o cluster HiatusRAT sirva como outro exemplo de tradecraft que poderia ser aplicado contra a Base Industrial de Defesa dos EUA com uma sensação de impunidade. Recomendamos que os contratados de defesa tenham cuidado e monitorem seus dispositivos de rede quanto à presença do HiatusRAT”, observa Lumen.