MirageFox RAT

De Ke3chang APT (Advanced Persistent Threat) is een beruchte hackgroep uit China die de krantenkoppen over de hele wereld heeft gehaald. De cybercriminelen achter de Ke3chang APT staan ook bekend als APT15. De Ke3chang APT heeft een aanzienlijke lijst met hacktools, en een daarvan is de MirageFox RAT (Remote Access Trojan).

De MirageFox RAT wordt meestal gebruikt als een payload in de tweede trap. De dreiging stelt de Ke3chang-groep in staat een verscheidenheid aan bedreigende taken uit te voeren op de gecompromitteerde host. De MirageFox RAT kan vooral nuttig zijn als verkenningsinstrument voor de lange termijn. Deze hacktool kan gerichte gegevens en bestanden van de geïnfecteerde host overhevelen en wijzigingen aanbrengen in de beveiligingsinstellingen van het gecompromitteerde systeem. Dit laatste is een zeer nuttige functie waarmee de aanvallers extra malware op de beoogde pc kunnen injecteren.

De MirageFox RAT-kopieën lijken een hardcoded IP-adres te hebben, dat wordt gebruikt voor een C&C (Command & Control)-server. Omdat de MirageFox RAT wordt gebruikt als secundaire payload, wordt de dreiging ook aangepast op basis van de eigenschappen van de beoogde host. Het is duidelijk dat de aanvallers de dreiging handmatig inzetten. De MirageFox RAT probeert niet om persistentie te krijgen op de geïnfecteerde pc, omdat de aanvallers de dreiging handmatig kunnen starten wanneer ze maar willen.

De hackgroep Ke3chang is waarschijnlijk een door de staat gesponsorde APT, wat betekent dat het rechtstreeks uit Peking kan worden gefinancierd. Het is bekend dat deze APT zich richt op buitenlandse overheidsinstanties, maar ook op grote bedrijven die actief zijn in belangrijke industrieën zoals energie, leger, ruimtevaart, enz. Ze staan ook bekend om het gebruik van op maat gemaakte malware naast legitieme software om hun activiteiten uit te voeren.