Talisman RAT

Talisman és un potent RAT (troià d'accés remot) que s'ha vist com a part de l'arsenal amenaçador del que es creu que són grups de ciberespionatge recolzats per la Xina. L'amenaça es va crear utilitzant el codi font del famós programari maliciós PlugX i està modelada per adaptar-se a les necessitats particulars dels actors de l'amenaça. Funciona seguint un flux d'execució similar que implica abusar d'un binari signat i inofensiu, que es veu obligat a carregar una DLL modificada de manera viciosa per executar-la com a codi shell. Al seu torn, el shellcode procedirà a desxifrar el programari maliciós. Un cop establert en els dispositius violats, Talisman proporcionarà accés a la porta posterior.

Talisman també conserva les capacitats de connector que s'esperaven d'una variant PlugX. Alguns dels complements que els ciberdelinqüents consideren essencials estan integrats a l'amenaça de manera predeterminada. Alguns dels complements identificats es van revelar en un informe de l'agència CISA dels EUA i inclouen Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL i Telnet. Les funcions de cada connector coincideixen amb el seu nom.

Fins ara, Talisman s'ha observat com a part de diverses campanyes d'atac. Els investigadors van rastrejar una operació amenaçadora dirigida a entitats del sud d'Àsia que operen en els sectors de les telecomunicacions i la defensa. L'atac s'ha atribuït a un grup de cibercrim conegut com Nomad Panda o RedFoxtrot. Més recentment, els investigadors de seguretat van tornar a atrapar un altre col·lectiu de pirates informàtics alineats a la Xina dirigit a objectius del sector de les telecomunicacions, però aquesta vegada situat a Àsia Central. Aquesta campanya en particular s'ha atribuït a un actor d'amenaces rastrejat com a "Drac Moshen". Cal destacar que s'ha establert una certa superposició entre les TTP (Tàctiques, tècniques i procediments) de Moshen Dragon i RedFoxtrot.