RoyalCLI

O grupo de hackers Ke3chang é um APT (Ameaça Persistente Avançada) que acredita-se operar na China. Esses cibercriminosos também são conhecidos como APT15. Os especialistas em segurança cibernética acreditam que esse APT pode ser patrocinado pelo governo chinês e provavelmente é usado para realizar ataques que aumentam os interesses de Pequim em escala internacional. Sabe-se que o grupo de hackers Ke3chang retrabalha e adapta suas ferramentas de hackers, e um dos exemplos disso é o malware RoyalCli. Essa ameaça parece basear-se em um Trojan conhecido como RoyalDNS , que foi utilizado em vários ataques em larga escala contra órgãos de governos estrangeiros.

Os pesquisadores de malware detectaram a ameaça RoyalCli pela primeira vez em 2017. Esse backdoors foi identificado em sistemas usados por contratados que cooperam com os departamentos governamentais do Reino Unido. O malware RoyalCli é capaz de permitir que os invasores utilizem o prompt de comando do Windows, o que lhes permitirá executar comandos remotos. Essa ameaça também pode executar uma lista de comandos pré-fabricados, o que permite que os invasores executem uma variedade de tarefas, como:

• Listar os processos ativos.
• Alterar as configurações do sistema.
• Exfiltrar as informações sobre o hardware e o software do sistema.

Sabe-se que o grupo de hackers Ke3chang utiliza ferramentas legítimas frequentemente, pois isso ajuda sua atividade nociva a permanecer despercebida por períodos mais longos. Isso é conhecido como 'viver fora da terra' e é um método usado por muitos criminosos cibernéticos de nível superior. No entanto, para empregar utilitários genuínos em suas campanhas de hackers, o grupo Ke3chang primeiro precisa se infiltrar no sistema de destino com uma ferramenta como o malware RoyalCli.

O grupo Ke3chang é muito conhecido no mundo do crime cibernético, pois são vigaristas altamente qualificados que têm a capacidade de usar cópias de trojanizadas de ferramentas legítimas, bem como malwares personalizados.