O campanie persistentă de spionaj cibernetic derulată timp de trei ani de APT24, actor asociat Republicii Populare Chineze, a folosit un malware necunoscut până acum denumit BadAudio.
Operațiunea se distinge prin utilizarea unor vectori de atac sofisticați, inclusiv compromiterea multiplă a unei firme de marketing digital din Taiwan, ce a dus la infectarea a peste 1,000 de domenii legitime.
Conform unui raport al experților din echipa de threat intelligence de la Google (Google Threat Intelligence Group – GTIG), APT24 a demonstrat o capacitate de adaptare continuă a metodelor de livrare a malware-ului.
Începând cu noiembrie 2022, atacatorul s-a bazat pe compromiterea strategică a site-urilor web (Strategic Web Compromise – SWC / watering hole attack) la scară largă ce selectau vizitatorii de interes. Apoi a pivotat către metode mai direcționate.
Malware-ul BadAudio
Scris în C++, BadAudio este un DLL malițios de primă etapă (first-stage downloader) a atacului ce servește ca vector de acces inițial. Acesta descarcă și execută în memoria sistemului încărcăturile malițioase necesare stadiilor ulterioare.
Malware-ul colectează date minimale despre sistem – hostname, username, arhitectură – și le criptează cu o cheie AES hard-codată. Datele sunt trimise ca valoare de cookie într-o cerere HTTP GET către serverul de comandă și control (C2).
Răspunsul conține payload-ul secundar – identificat într-un caz drept Cobalt Strike Beacon – care este decriptat și executat direct în memorie pentru a evita detectarea pe disc.
BadAudio este conceput cu capacități avansate de ascundere precum obfuscare prin „control flow flattening” ce îngreunează semnificativ analiza statică și dinamică efectuată de cercetători și instrumente automate.
APT24 a folosit tehnica DLL Search Order Hijacking ce exploatează ordinea de căutare a bibliotecilor dinamice pentru a executa malware-ul BadAudio.
BadAudio este executat pe sistem în contextul unor aplicații legitime folosind tehnica DLL Search Order Hijacking ce exploatează ordinea de căutare a bibliotecilor dinamice.
Livrarea BadAudio și selectarea țintelor
GTIG spune că APT24 a demonstrat o capacitate de adaptare continuă a metodelor de livrare a malware-ului.
Inițial, distribuția BadAudio se realiza prin injectarea de JavaScript malițios în site-uri web compromise, filtrele de selecție excluzând sisteme non-Windows și anumite browsere pentru rafinarea profilului victimelor.
Scripturile utilizau FingerprintJS pentru colectarea de parametri de mediu și construirea unei amprente unice, transmisă către C2, urmat de afișarea unui ferestre pop-up false ce solicita descărcarea și execuția BadAudio.
În 2024 și 2025, vectorii principali s-au diversificat incluzând atacuri de tip supply-chain și phishing ce abuzau platforme cloud legitime (Google Drive, OneDrive) pentru distribuirea fișierelor malițioase.
Începând cu iulie 2024, APT24 a compromis în mod repetat o firmă regionale de marketing digital din Taiwan ce furniza clienților librării JavaScript.
Un an mai târziu, experții au descoperit ca firma de marketing fusese compromisă din nou, dar APT24 a luat măsuri extra pentru ascunderea codului malițios.
Scriptul extrem de obfuscat a fost plasat deliberat într-un fișier JSON modificat malițios, distribuit de către furnizor, care a fost ulterior încărcat și executat de un alt fișier JavaScript compromis.
Această tactică a ascuns eficient încărcătura finală într-un tip de fișier și o structură care nu sunt, de obicei, asociate cu execuția de cod, notează GTIG.
Aceste atacuri au afectat peste 1.000 de domenii care utilizau librăriile JavaScript livrate clienților de către compania de marketing.
GTIG a blocat domeniile și fișierele identificate prin Safe Browsing, iar notificările tehnice au fost transmise victimelor pentru remediere imediată.
Experții de la Google subliniază că această campanie este un exemplu de evoluție tactică și operațională continuă a APT24, și evidențiază sofisticarea actorilor de stat în ceea ce privește spionajul cibernetic, în special al celor asociați cu Republica Populară Chineză.
GTIG monitorizează continuu amenințările de acest tip pentru a proteja utilizatorii și clienții, și își actualizează în mod constant protecțiile și măsurile împotriva acestei campanii.
