Talisman RAT

Talisman är en potent RAT (Remote Access Trojan) som har setts som en del av den hotande arsenalen av vad som tros vara kinesisk-stödda cyberspionagegrupper. Hotet skapades genom att använda källkoden för den ökända PlugX skadlig programvara och är formad för att passa de särskilda behoven hos hotaktörerna. Den fungerar genom att följa ett liknande exekveringsflöde som involverar missbruk av en signerad och ofarlig binär, som tvingas ladda en ondskefullt modifierad DLL för att köras som skalkod. I sin tur fortsätter skalkoden för att dekryptera skadlig programvara. När den väl har etablerats på de brutna enheterna kommer Talisman att ge bakdörrsåtkomst till den.

Talisman behåller också plugin-funktionerna som förväntas av en PlugX-variant. Vissa av plugin-programmen som anses nödvändiga av cyberbrottslingarna är som standard inbäddade i hotet. Några av de identifierade plugin-programmen avslöjades i en rapport från den amerikanska CISA-byrån och inkluderar Disk, Nethood, Netstat, Option, PortMap, RegEdit, Service, Shell, SQL och Telnet. Funktionerna för varje plugin matchar dess namn.

Hittills har Talisman observerats som en del av flera attackkampanjer. Forskare spårade en hotfull operation riktad mot sydasiatiska enheter verksamma inom telekom- och försvarssektorerna. Attacken har tillskrivits en cyberbrottsgrupp känd som Nomad Panda eller RedFoxtrot. På senare tid fångade säkerhetsforskare ett annat kinesiskt-anpassat hackerkollektiv igen riktat mot mål från telekommunikationssektorn, men denna gång i Centralasien. Denna speciella kampanj har tillskrivits en hotaktör som spåras som "Moshen Dragon". Det bör påpekas att viss överlappning har etablerats mellan Moshen Dragons och RedFoxtrots TTP:er (taktik, tekniker och procedurer).