HUI Loader

Претња од малвера која се годинама користи у кампањама напада, сада је повезана са активностима АПТ (Адванцед Персистенце Тхреат) група које подржавају Цхинсе. Малвер познат као ХУИ Лоадер је први пут идентификован још 2015. године, али су везе са неколико хакерских група које спонзорише држава потврђене тек недавно. Детаљи о претњи и актерима претњи који је користе као део свог алата за претње откривени су у извештају Сецуреворкс Цоунтер Тхреат Унит (ЦТУ).

ХУИ Лоадер се примењује у почетним фазама инфекције и има задатак да испоручи и изврши корисни терет следеће фазе. Претња се вероватно испоручује циљаним системима преко легитимних програма који су били подвргнути техници познатој као отмица налога претраге ДЛЛ-а.' Када се једном успостави и покрене у меморији, примећено је да ХУИ Лоадер учитава различите РАТ (тројанце за даљински приступ) укључујући СодаМастер, Цобалт Стрике , ПлугКс и КуасарРАТ.

Истраживачи у ЦТУ-у су ухватили да је ХУИ Лоадер део кампања напада на јапанске ентитете, али претпостављају да би европске и америчке организације такође могле да буду мета. Једна од група активности приписује се А41АПТ. Нападачи су вероватно били заинтересовани за прикупљање интелектуалне својине и ослањали су се на ХУИ Лоадер за испоруку СодаМастер РАТ-а. Верује се да је друга кампања коју су посматрали стручњаци за сајбер безбедност била БРОНЗАНО СВЕТЛО ЗВЕЗДА. У овом случају, хакери су такође избацили претње рансомваре-а на проваљене уређаје, вероватно као начин да сакрију свој прави циљ прикупљања осетљивих података од жртава.