HUI Loader

Una amenaça de programari maliciós que s'ha utilitzat durant anys en campanyes d'atac, ara s'ha connectat a les activitats dels grups APT (Advanced Persistence Threat) recolzats per Chinse. El programari maliciós conegut com a HUI Loader es va identificar per primera vegada el 2015, però els enllaços a diversos grups de pirates informàtics patrocinats per l'estat només s'han confirmat recentment. Els detalls sobre l'amenaça i els actors d'amenaça que l'utilitzen com a part del seu conjunt d'eines d'amenaça es van revelar en un informe de la Unitat de contraatac (CTU) de Secureworks.

El carregador HUI es desplega en les etapes inicials de la infecció i s'encarrega de lliurar i executar les càrregues útils de la següent etapa. És probable que l'amenaça s'enviï als sistemes objectiu mitjançant programes legítims que van ser sotmesos a una tècnica coneguda com a segrest d'ordres de cerca de DLL". Un cop establert i en funcionament a la memòria, s'ha observat que el carregador HUI carrega diversos RAT (troians d'accés remot), inclosos SodaMaster, Cobalt Strike , PlugX i QuasarRAT.

Els investigadors de la CTU van descobrir que el carregador HUI formava part de campanyes d'atac contra entitats japoneses, però presumeixen que les organitzacions europees i nord-americanes també podrien ser objectiu. Un dels clústers d'activitats s'atribueix a l'A41APT. Els atacants probablement estaven interessats a recollir propietat intel·lectual i confiaven en el carregador HUI per al lliurament del SodaMaster RAT. L'altra campanya observada pels experts en ciberseguretat es creu que és de BRONZE STARLIGHT. En aquest cas, els pirates informàtics també van deixar caure les amenaces de ransomware als dispositius violats, probablement com una manera d'ocultar el seu veritable objectiu de recollir dades sensibles de les víctimes.