MirageFox RATTO

Il Ke3chang APT (Advanced Persistent Threat) è un famigerato gruppo di hacker cinese che ha fatto notizia in tutto il mondo. I criminali informatici dietro l'APT Ke3chang sono anche conosciuti come APT15. L' APT Ke3chang ha un elenco consistente di strumenti di hacking e uno di questi è MirageFox RAT (Remote Access Trojan).

Il MirageFox RAT viene solitamente utilizzato come payload di secondo stadio. La minaccia consente al gruppo Ke3chang di eseguire una serie di attività minacciose sull'host compromesso. Il MirageFox RAT può essere utile come strumento di ricognizione a lungo termine, in particolare. Questo strumento di hacking è in grado di sottrarre dati e file mirati dall'host infetto, nonché di applicare modifiche alle impostazioni di sicurezza del sistema compromesso. Quest'ultima è una funzionalità molto utile che consentirebbe agli aggressori di iniettare malware aggiuntivo nel PC di destinazione.

Le copie MirageFox RAT sembrano avere un indirizzo IP codificato, che viene utilizzato per un server C&C (Command & Control). Inoltre, poiché MirageFox RAT viene utilizzato come payload secondario, la minaccia viene modificata in base alle proprietà dell'host mirato: è evidente che gli aggressori stanno distribuendo la minaccia manualmente. Il MirageFox RAT non tenta di ottenere la persistenza sul PC infetto poiché gli aggressori sono in grado di lanciare manualmente la minaccia ogni volta che lo desiderano.

Il gruppo di hacker Ke3chang è probabilmente un APT sponsorizzato dallo stato, il che significa che potrebbe essere finanziato direttamente da Pechino. Questo APT è noto per prendere di mira enti governativi stranieri, nonché grandi società che operano in settori chiave come energia, militare, aerospaziale, ecc. Sono anche noti per l'utilizzo di malware personalizzato insieme a software legittimo per svolgere le loro operazioni.