Talismano RATTO

Talisman è un potente RAT (Remote Access Trojan) che è stato visto come parte del minaccioso arsenale di quelli che si ritiene siano gruppi di spionaggio informatico sostenuti dalla Cina. La minaccia è stata creata utilizzando il codice sorgente del famigerato malware PlugX ed è modellata per soddisfare le esigenze particolari degli attori delle minacce. Funziona seguendo un flusso di esecuzione simile che implica l'abuso di un binario firmato e innocuo, che è costretto a caricare una DLL viziosamente modificata da eseguire come shellcode. A sua volta, lo shellcode procederà alla decrittografia del malware. Una volta stabilito sui dispositivi violati, Talisman fornirà l'accesso backdoor ad esso.

Talisman mantiene anche le funzionalità plug-in previste da una variante PlugX. Alcuni dei plug-in ritenuti essenziali dai criminali informatici sono incorporati nella minaccia per impostazione predefinita. Alcuni dei plug-in identificati sono stati rivelati in un rapporto dell'agenzia CISA statunitense e includono Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL e Telnet. Le funzioni di ciascun plug-in corrispondono al suo nome.

Finora, Talisman è stato osservato come parte di diverse campagne di attacco. I ricercatori hanno seguito un'operazione minacciosa contro entità dell'Asia meridionale operanti nei settori delle telecomunicazioni e della difesa. L'attacco è stato attribuito a un gruppo di criminalità informatica noto come Nomad Panda o RedFoxtrot. Più recentemente, i ricercatori di sicurezza hanno catturato di nuovo un altro collettivo di hacker allineato alla Cina mirato a obiettivi del settore delle telecomunicazioni, ma questa volta situato in Asia centrale. Questa particolare campagna è stata attribuita a un attore di minacce identificato come "Drago Moshen". Da segnalare che è stata stabilita una certa sovrapposizione tra le TTP (Tattiche, tecniche e procedure) di Moshen Dragon e RedFoxtrot.