Daxin Malware

O Daxin está sendo descrito como o malware mais avançado atribuído aos agentes de ameaças apoiados pela China. Detalhes sobre a ameaça foram divulgados em um relatório dos pesquisadores de segurança. De acordo com suas descobertas, a ameaça conseguiu permanecer sob o radar por quase uma década – as primeiras amostras de Daxin identificadas são de 2013, enquanto as últimas operações de ataque envolvendo a ameaça ocorreram em novembro de 2021.

Em sua essência, o Daxin é um implante de backdoor que fornece aos invasores a capacidade de realizar várias ações intrusivas nos dispositivos infectados. No entanto, o objetivo aparente dos invasores é a coleta de dados. Os alvos escolhidos são cuidadosamente selecionados de uma variedade de diferentes indústrias e setores, incluindo telecomunicações, transporte e manufatura. Organizações governamentais também foram alvo do Daxin. Uma característica comum entre as entidades selecionadas é que elas possuem proteções robustas de rede e ciber-segurança.

O Daxin foi projetado para operar como um driver de kernel do Windows. Ele se destaca em usar um único comando externo para pular de um sistema violado para outro dentro da rede. Para passar despercebido, o Daxin não abre novos serviços de rede nem tenta comunicações que possam parecer suspeitas. Em vez disso, ele sequestra serviços TCP/IP legítimos, enquanto escuta padrões de tráfego específicos que podem ser reconhecidos como um comando válido. Vale ressaltar que quase todos os recursos avançados da ameaça já estavam presentes em suas primeiras versões, mostrando a habilidade e visão dos seus criadores.