Талисман Плъх

Talisman е мощен RAT (троянец за отдалечен достъп), който се разглежда като част от заплашителния арсенал на това, което се смята за подкрепяни от Китай кибершпионажни групи. Заплахата е създадена чрез използване на изходния код на прословутия зловреден софтуер PlugX и е оформена така, че да отговаря на конкретните нужди на участниците в заплахата. Той работи, като следва подобен поток на изпълнение, който включва злоупотреба със подписан и безвреден двоичен файл, който е принуден да зареди злобно модифицирана DLL, за да се изпълни като шелкод. От своя страна шелкодът ще продължи да декриптира зловредния софтуер. Веднъж установен на пробитите устройства, Talisman ще осигури бекдор достъп до него.

Talisman също запазва възможностите за приставки, очаквани от вариант PlugX. Някои от плъгините, които се считат за съществени от киберпрестъпниците, са вградени в заплахата по подразбиране. Някои от идентифицираните плъгини бяха разкрити в доклад на американската агенция CISA и включват Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL и Telnet. Функциите на всеки плъгин съответстват на името му.

Досега Талисманът е наблюдаван като част от няколко атаки. Изследователите проследиха заплашителна операция, насочена към южноазиатски субекти, работещи в телекомуникационния и отбранителния сектор. Атаката се приписва на група за киберпрестъпления, известна като Nomad Panda или RedFoxtrot. Съвсем наскоро изследователи по сигурността заловиха друга хакерска група, съвместима с Китай, отново насочена към цели от телекомуникационния сектор, но този път в Централна Азия. Тази конкретна кампания се приписва на заплаха, проследен като „Moshen Dragon“. Трябва да се отбележи, че е установено известно припокриване между TTP (тактики, техники и процедури) на Moshen Dragon и RedFoxtrot.