Các nhà nghiên cứu an ninh mạng đã phát hiện ra rằng phần mềm độc hại được gọi là BLOODALCHEMY được sử dụng trong các cuộc tấn công nhắm vào các tổ chức chính phủ ở Nam và Đông Nam Á trên thực tế là phiên bản cập nhật của Deed RAT, được cho là sự kế thừa của ShadowPad.
"Nguồn gốc của BLOODALCHEMY và Deed RAT là ShadowPad và với lịch sử của ShadowPad được sử dụng trong nhiều chiến dịch APT, điều quan trọng là phải đặc biệt chú ý đến xu hướng sử dụng phần mềm độc hại này", công ty ITOCHU Cyber &; Intelligence của Nhật Bản cho biết.
BLOODALCHEMY lần đầu tiên được Elastic Security Labs ghi nhận vào tháng 10/2023 liên quan đến một chiến dịch được thực hiện bởi một bộ xâm nhập mà nó theo dõi là REF5961 nhắm vào các nước Hiệp hội các quốc gia Đông Nam Á (ASEAN).
Một backdoor barebones x86 được viết bằng C, nó được đưa vào một quy trình lành tính đã ký ("BrDifxapi.exe") bằng cách sử dụng một kỹ thuật gọi là DLL side-loading, và có khả năng ghi đè lên bộ công cụ, thu thập thông tin máy chủ, tải thêm payload, gỡ cài đặt và tự chấm dứt.
Việc triển khai chuỗi tấn công đã được quan sát thấy xâm phạm tài khoản bảo trì trên thiết bị VPN để có quyền truy cập ban đầu để triển khai BrDifxapi.exe, sau đó được sử dụng để tải BrLogAPI.dll, một trình tải chịu trách nhiệm thực thi shellcode BLOODALCHEMY trong bộ nhớ sau khi giải nén nó từ một tệp có tên DIFX.
Phần mềm độc hại sử dụng cái gọi là chế độ chạy xác định hành vi của nó, cho phép nó trốn tránh phân tích trong môi trường hộp cát, thiết lập sự kiên trì, thiết lập liên lạc với máy chủ từ xa và kiểm soát máy chủ bị nhiễm thông qua các lệnh cửa hậu được triển khai.
Phân tích của ITOCHU về BLOODALCHEMY cũng đã xác định sự tương đồng mã với Deed RAT, một phần mềm độc hại nhiều mặt được sử dụng độc quyền bởi một tác nhân đe dọa được gọi là Space Pirates và được xem là phiên bản tiếp theo của ShadowPad, bản thân nó là một sự tiến hóa của PlugX.
"Điểm tương tự đáng chú ý đầu tiên là cấu trúc dữ liệu độc đáo của tiêu đề tải trọng trong cả BLOODALCHEMY và Deed RAT", công ty cho biết. "Một số điểm tương đồng đã được tìm thấy trong quá trình tải shellcode và tệp DLL cũng được sử dụng để đọc shellcode."
Điều đáng chú ý là cả PlugX (Korplug) và ShadowPad (hay còn gọi là PoisonPlug) đã được sử dụng rộng rãi bởi các nhóm hack Trung Quốc trong những năm qua.
Tiết lộ được đưa ra khi một tác nhân đe dọa liên quan đến Trung Quốc được gọi là Sharp Dragon (trước đây là Sharp Panda) đã mở rộng mục tiêu của họ để bao gồm các tổ chức chính phủ ở Châu Phi và Caribe như một phần của chiến dịch gián điệp mạng đang diễn ra.