Daxin malware

Daxin viene descritto come il malware più avanzato attribuito agli attori delle minacce sostenuti dalla Cina. I dettagli sulla minaccia sono stati rilasciati in un rapporto dei ricercatori di sicurezza. Secondo i loro risultati, la minaccia è stata in grado di rimanere nascosta per quasi un decennio: i primi campioni di Daxin identificati risalgono al 2013 mentre le ultime operazioni di attacco che coinvolgono la minaccia sono avvenute nel novembre 2021.

Al suo interno, Daxin è un impianto backdoor che fornisce agli aggressori la capacità di condurre varie azioni intrusive sui dispositivi infetti. Tuttavia, l'obiettivo apparente degli attaccanti è la raccolta di dati. Gli obiettivi scelti sono accuratamente selezionati da una gamma di diversi settori e industrie, comprese le telecomunicazioni, i trasporti e la produzione. Anche le organizzazioni governative sono state prese di mira con Daxin. Una caratteristica comune tra le entità selezionate è che dispongono di solide protezioni di rete e sicurezza informatica.

Daxin è progettato per funzionare come driver del kernel di Windows. Eccelle nell'utilizzo di un singolo comando esterno per passare da un sistema violato a un altro all'interno della rete. Per passare inosservato, Daxin non apre nuovi servizi di rete né tenta comunicazioni che potrebbero sembrare sospette. Al contrario, dirotta i servizi TCP/IP legittimi, mentre ascolta modelli di traffico specifici che può riconoscere come un comando valido. Va sottolineato che quasi tutte le funzionalità avanzate della minaccia erano già presenti nelle sue prime versioni, a dimostrazione dell'abilità e della lungimiranza dei suoi creatori.