MirageFox RAT

Ke3chang APT (Advanced Persistent Threat) to niesławna grupa hakerska z Chin, która trafiła na pierwsze strony gazet na całym świecie. Cyberprzestępcy stojący za Ke3chang APT są również znani jako APT15. APT Ke3chang ma pokaźną listę narzędzi hakerskich, a jednym z nich jest MirageFox RAT (trojan zdalnego dostępu).

MirageFox RAT jest zwykle wykorzystywany jako ładunek drugiego stopnia. Zagrożenie umożliwia grupie Ke3chang wykonywanie różnych zagrażających zadań na zaatakowanym hoście. MirageFox RAT może być szczególnie przydatny jako narzędzie długoterminowego rozpoznania. To narzędzie hakerskie jest w stanie wyprowadzić docelowe dane i pliki z zainfekowanego hosta, a także wprowadzić zmiany w ustawieniach bezpieczeństwa zaatakowanego systemu. Ta ostatnia jest bardzo przydatną funkcją, która umożliwiłaby atakującym wstrzyknięcie dodatkowego złośliwego oprogramowania na atakowany komputer.

Kopie MirageFox RAT wydają się mieć zakodowany adres IP, który jest używany przez serwer C&C (Command & Control). Ponadto, ponieważ MirageFox RAT jest używany jako dodatkowy ładunek, zagrożenie jest modyfikowane na podstawie właściwości docelowego hosta – oczywiste jest, że atakujący wdrażają zagrożenie ręcznie. MirageFox RAT nie próbuje uzyskać trwałości na zainfekowanym komputerze, ponieważ atakujący mogą ręcznie uruchomić zagrożenie, kiedy tylko chcą.

Grupa hakerska Ke3chang jest prawdopodobnie sponsorowanym przez państwo APT, co oznacza, że może być finansowana bezpośrednio z Pekinu. Ten APT jest znany z atakowania zagranicznych podmiotów rządowych, a także dużych korporacji działających w kluczowych branżach, takich jak energetyka, wojsko, lotnictwo itp. Są one również znane z wykorzystywania niestandardowego złośliwego oprogramowania wraz z legalnym oprogramowaniem do prowadzenia swoich operacji.