Seorang aktor ancaman persisten tingkat lanjut (APT) berbahasa China yang sebelumnya tidak terdokumentasi dijuluki Naga Aoqin telah dikaitkan dengan serangkaian serangan berorientasi spionase yang ditujukan pada entitas pemerintah, pendidikan, dan telekomunikasi terutama di Asia Tenggara dan Australia sejak tahun 2013.
“Aoqin Dragon mencari akses awal terutama melalui eksploitasi dokumen dan penggunaan perangkat palsu yang dapat dilepas,” kata peneliti SentinelOne Joey Chen dalam sebuah laporan yang dibagikan kepada The Hacker News. “Teknik lain yang telah diamati penyerang menggunakan termasuk pembajakan DLL, file yang dikemas Themida, dan tunneling DNS untuk menghindari deteksi pasca-kompromi.”
Kelompok ini dikatakan memiliki beberapa tingkat asosiasi dengan aktor ancaman lain yang dikenal sebagai Naikon (alias Override Panda), dengan kampanye yang terutama ditujukan terhadap target di Australia, Kamboja, Hong Kong, Singapura, dan Vietnam.
Rantai infeksi yang dipasang oleh Aoqin Dragon telah memanfaatkan urusan politik Asia-Pasifik dan umpan dokumen bertema pornografi serta teknik pintasan USB untuk memicu penyebaran salah satu dari dua pintu belakang: Mongall dan versi modifikasi dari proyek open-source Heyoka.
Ini melibatkan memanfaatkan kerentanan keamanan lama dan belum ditambal (CVE-2012-0158 dan CVE-2010-3333), dengan dokumen umpan menarik target untuk membuka file. Selama bertahun-tahun, aktor ancaman juga menggunakan dropper yang dapat dieksekusi yang menyamar sebagai perangkat lunak antivirus untuk menyebarkan implan dan terhubung ke server jarak jauh.
“Meskipun file yang dapat dieksekusi dengan ikon file palsu telah digunakan oleh berbagai aktor, itu tetap menjadi alat yang efektif terutama untuk target APT,” jelas Chen. “Dikombinasikan dengan konten email ‘menarik’ dan nama file yang menarik, pengguna dapat direkayasa secara sosial untuk mengklik file tersebut.”
Yang mengatakan, vektor akses awal terbaru Aoqin Dragon pilihan sejak 2018 telah menggunakan file pintasan perangkat removable palsu (.LNK), yang, ketika diklik, menjalankan executable (“RemovableDisc.exe”) yang menampilkan ikon untuk aplikasi pencatat populer Evernote tetapi direkayasa untuk berfungsi sebagai pemuat untuk dua muatan yang berbeda.
Salah satu komponen dalam rantai infeksi adalah penyebar yang menyalin semua file berbahaya ke perangkat lain yang dapat dilepas dan modul kedua adalah pintu belakang terenkripsi yang menyuntikkan dirinya ke dalam memori rundll32, proses Windows asli yang digunakan untuk memuat dan menjalankan file DLL.
Dikenal untuk digunakan setidaknya sejak 2013, Mongall (“HJ-client.dll”) digambarkan sebagai implan yang “sangat kaya fitur” tetapi yang mengemas fitur yang cukup untuk membuat shell jarak jauh dan mengunggah dan mengunduh file arbitrer ke dan dari server kontrol penyerang.
Juga digunakan oleh musuh adalah varian ulang dari Heyoka (“srvdll.dll”), alat eksfiltrasi proof-of-concept (PoC) “yang menggunakan permintaan DNS palsu untuk membuat terowongan dua arah.” Backdoor Heyoka yang dimodifikasi lebih kuat, dilengkapi dengan kemampuan untuk membuat, menghapus, dan mencari file, membuat dan menghentikan proses, dan mengumpulkan informasi proses pada host yang disusupi.
“Aoqin Dragon adalah kelompok spionase cyber aktif yang telah beroperasi selama hampir satu dekade,” kata Chen, menambahkan, “kemungkinan mereka juga akan terus memajukan keahlian mereka, menemukan metode baru untuk menghindari deteksi dan tinggal lebih lama di jaringan target mereka. .”