Pemuat Spyder

Alat perisian hasad baharu telah diperhatikan untuk digunakan sebagai sebahagian daripada operasi serangan yang masih aktif yang dikesan sebagai CuckooBees. Ancaman yang menyakitkan itu dikenali sebagai Spyder Loader, dan ia membawa keupayaan mengumpul data. Perlu diingatkan bahawa Pemuat Spyder telah digunakan pada masa lalu oleh operasi yang dikaitkan dengan APT41 (Winnti, Barium, Panda Jahat dan Atlas Gangsa), tetapi ia adalah tambahan kemudian kepada CuckooBees secara khusus. Perincian mengenai ancaman dan kempen serangan telah disediakan dalam laporan oleh penyelidik keselamatan.

Kumpulan penjenayah siber APT41 dianggap sebagai salah satu yang tertua, kerana ia dipercayai telah beroperasi sejak sekurang-kurangnya 2007. Ia juga merupakan salah satu kumpulan ancaman APT (Advanced Persistent Threat) yang paling aktif, dengan banyak kempen serangan sepanjang tahun. Bagi CuckooBee, operasi itu kebanyakannya berada di bawah radar sejak sekurang-kurangnya 2019, dan ia nampaknya menyasarkan entiti terpilih yang berpangkalan di Hong Kong.

Butiran Pemuat Spyder

Menurut para penyelidik, Spyder Loader adalah ancaman modular yang canggih. Selain itu, ancaman telah melihat pelbagai kemas kini dan terus diperbaiki oleh penggodam. Matlamat utama ancaman adalah untuk menuai dan kemudian mengeluarkan data sensitif. Tiga jenis data utama yang menarik minat penjenayah siber ialah kelayakan organisasi yang dilanggar, data pelanggan dan maklumat tentang seni bina rangkaiannya.

Pemuat Spyder dilengkapi dengan pelbagai teknik untuk menghalang analisis, seperti menggunakan algoritma ChaCha20 untuk menyulitkan dan mengelirukan rentetannya. Di samping itu, ancaman boleh diarahkan untuk memadamkan fail 'wlbsctrl.dll' muatan dan mengalih keluar artifak tambahan yang boleh mendedahkan tindakan atau kehadirannya pada peranti.