HUI Loader

Uma ameaça de malware que tem sido usada em campanhas de ataque há anos, agora está conectada às atividades de grupos APT (Advanced Persistence Threat) apoiados pela China. O malware conhecido como HUI Loader foi identificado pela primeira vez em 2015, mas os links para vários grupos de hackers patrocinados pelo estado foram confirmados apenas recentemente. Detalhes sobre a ameaça e os agentes de ameaças que a usam como parte de seu kit de ferramentas de ameaças foram revelados em um relatório da Unidade de Contra Ameaças (CTU) da Secureworks.

O HUI Loader é implantado nos estágios iniciais da infecção e tem a tarefa de entregar e executar as cargas úteis do próximo estágio. A ameaça provavelmente é entregue aos sistemas visados por meio de programas legítimos que foram submetidos a uma técnica conhecida como seqüestro de ordem de pesquisa de DLL.' Uma vez estabelecido e executado na memória, o HUI Loader foi observado para carregar vários RAT (Remote Access Trojans), incluindo SodaMaster, Cobalt Strike  PlugX e QuasarRAT.

Os pesquisadores da CTU pegaram o HUI Loader fazendo parte de campanhas de ataque contra entidades japonesas, mas eles presumem que organizações europeias e norte-americanas também poderiam ser alvos. Um dos clusters de atividades é atribuído ao A41APT. Os invasores provavelmente estavam interessados em coletar propriedade intelectual e confiaram no HUI Loader para a entrega do SodaMaster RAT. Acredita-se que a outra campanha observada pelos especialistas em segurança cibernética seja do BRONZE STARLIGHT. Nesse caso, os hackers também lançaram ameaças de ransomware nos dispositivos violados, provavelmente como forma de esconder seu verdadeiro objetivo de coletar dados confidenciais das vítimas.