Có tới 85 máy chủ chỉ huy và điều khiển (C2) đã được phát hiện được hỗ trợ bởi phần mềm độc hại ShadowPad kể từ tháng 9 năm 2021, với cơ sở hạ tầng được phát hiện gần đây nhất là ngày 16 tháng 10 năm 2022.
Đó là theo Đơn vị Phân tích Mối đe dọa (TAU) của VMware, đã nghiên cứu ba biến thể ShadowPad sử dụng các giao thức TCP, UDP và HTTP (S) cho truyền thông C2.
ShadowPad, được coi là sự kế thừa của PlugX, là một nền tảng phần mềm độc hại mô-đun được chia sẻ riêng giữa nhiều tác nhân do nhà nước Trung Quốc tài trợ kể từ năm 2015.
Công ty an ninh mạng TeamT5 của Đài Loan, vào đầu tháng 5 này, đã tiết lộ chi tiết về một thiết bị cấy ghép mô-đun mối quan hệ khác của Trung Quốc có tên Pangolin8RAT, được cho là sự kế thừa của các dòng phần mềm độc hại PlugX và ShadowPad, liên kết nó với một nhóm đe dọa có tên là Tianwu.
Một phân tích về ba tạo tác ShadowPad, trước đây đã được Winnti, Tonto Team và một cụm mối đe dọa mới nổi có tên mã là Space Pirates, cho phép khám phá các máy chủ C2 bằng cách quét danh sách các máy chủ đang mở được tạo bởi một công cụ có tên ZMap, VMware cho biết.
Công ty tiết lộ thêm rằng họ đã xác định được các mẫu phần mềm độc hại Spyder và ReverseWindow giao tiếp với địa chỉ IP ShadowPad C2, cả hai đều là những công cụ độc hại được APT41 (hay còn gọi là Winnti) và LuoYu đưa vào sử dụng.
Ngoài ra, sự chồng chéo đã được quan sát giữa mẫu Spyder nói trên và thành phần Công nhân của trojan Winnti 4.0 của tác nhân đe dọa.
"Quét phần mềm độc hại APT C2 trên Internet đôi khi giống như tìm thấy một cây kim trong đống cỏ khô", Takahiro Haruyama, nhà nghiên cứu mối đe dọa cấp cao tại VMware TAU, cho biết. "Tuy nhiên, một khi tính năng quét C2 hoạt động, nó có thể trở thành một yếu tố thay đổi cuộc chơi như một trong những cách tiếp cận phát hiện mối đe dọa chủ động nhất."