MirageFox RAT

O Ke3chang APT (Ameaça Persistente Avançada) é um infame grupo de hackers da China que ganhou as manchetes em todo o mundo. Os cibercriminosos por trás do Ke3chang APT também são conhecidos como APT15. O Ke3chang APT possui uma lista substancial de ferramentas de hackers, e uma delas é o MirageFox RAT (Trojan de Acesso Remoto).

O MirageFox RAT é geralmente utilizado como uma carga útil de segundo estágio. A ameaça permite que o grupo Ke3chang realize uma variedade de tarefas ameaçadoras no host comprometido. O MirageFox RAT pode ser útil principalmente como uma ferramenta de reconhecimento de longo prazo. Essa ferramenta de hackers é capaz de desviar dados e arquivos direcionados do host infectado, bem como aplicar alterações nas configurações de segurança do sistema comprometido. O último é um recurso muito útil que permitiria que os invasores injetassem malware adicional no PC visado.

As cópias do MirageFox RAT parecem ter um endereço de IP codificado, usado para um servidor de C&C (Comando & Controle). Além disso, como o MirageFox RAT é usado como carga secundária, a ameaça é modificada com base nas propriedades do host de destino - é evidente que os atacantes estão implantando a ameaça manualmente. O MirageFox RAT não tenta obter persistência no PC infectado, pois os atacantes podem iniciar a ameaça manualmente sempre que desejarem.

O grupo de hackers Ke3chang provavelmente é um APT patrocinado pelo estado, o que significa que ele pode estar sendo financiado diretamente de Pequim. Esse APT é conhecido por atingir entidades governamentais estrangeiras, bem como grandes corporações que operam em setores-chave, como energia, militar, aeroespacial, etc. Eles também são conhecidos por utilizar malware customizado juntamente com software legítimo para realizar as suas operações.