HUI Loader

Una minaccia malware utilizzata da anni nelle campagne di attacco è ora collegata alle attività dei gruppi APT (Advanced Persistence Threat) sostenuti da Chinse. Il malware noto come HUI Loader è stato identificato per la prima volta nel 2015, ma i collegamenti a diversi gruppi di hacker sponsorizzati dallo stato sono stati confermati solo di recente. I dettagli sulla minaccia e sugli attori che la utilizzano come parte del loro toolkit minaccioso sono stati rivelati in un rapporto della Secureworks Counter Threat Unit (CTU).

L'HUI Loader viene distribuito nelle fasi iniziali dell'infezione e ha il compito di consegnare ed eseguire i payload della fase successiva. La minaccia viene probabilmente trasmessa ai sistemi presi di mira tramite programmi legittimi che sono stati sottoposti a una tecnica nota come dirottamento degli ordini di ricerca DLL.' Una volta stabilito ed eseguito in memoria, è stato osservato che HUI Loader carica vari RAT (Remote Access Trojan) tra cui SodaMaster, Cobalt Strike , PlugX e QuasarRAT.

I ricercatori del CTU hanno scoperto che HUI Loader faceva parte di campagne di attacco contro entità giapponesi, ma presumono che anche le organizzazioni europee e statunitensi potrebbero essere prese di mira. Uno dei cluster di attività è attribuito all'A41APT. Gli aggressori erano probabilmente interessati alla raccolta di proprietà intellettuale e si affidavano all'HUI Loader per la consegna del SodaMaster RAT. Si ritiene che l'altra campagna osservata dagli esperti di sicurezza informatica sia quella di BRONZE STARLIGHT. In questo caso, gli hacker hanno anche lanciato minacce ransomware sui dispositivi violati, probabilmente per nascondere il loro vero obiettivo di raccogliere dati sensibili dalle vittime.