HUI Loader

Isang banta ng malware na ginamit sa mga kampanya ng pag-atake sa loob ng maraming taon, ay konektado na ngayon sa mga aktibidad ng mga grupong APT (Advanced Persistence Threat) na sinusuportahan ng Chinse. Ang malware na kilala bilang HUI Loader ay unang natukoy noong 2015, ngunit ang mga link sa ilang mga grupo ng hacker na inisponsor ng estado ay nakumpirma kamakailan lamang. Ang mga detalye tungkol sa banta at ang mga aktor ng banta na gumagamit nito bilang bahagi ng kanilang toolkit ng pagbabanta ay inihayag sa isang ulat ng Secureworks Counter Threat Unit (CTU).

Ang HUI Loader ay naka-deploy sa mga unang yugto ng impeksyon at may tungkulin sa paghahatid at pagpapatupad ng mga susunod na yugto ng mga payload. Ang banta ay malamang na naihatid sa mga naka-target na sistema sa pamamagitan ng mga lehitimong programa na sumailalim sa isang pamamaraan na kilala bilang DLL search order hijacking.' Kapag naitatag at tumatakbo sa memorya, ang HUI Loader ay naobserbahan na nag-load ng iba't ibang RAT (Remote Access Trojans) kabilang ang SodaMaster, Cobalt Strike, PlugX at QuasarRAT.

Nahuli ng mga mananaliksik sa CTU ang HUI Loader bilang bahagi ng mga kampanya sa pag-atake laban sa mga entity ng Hapon, ngunit ipinapalagay nila na ang mga organisasyong European at US ay maaari ding ma-target. Ang isa sa mga kumpol ng mga aktibidad ay iniuugnay sa A41APT. Ang mga umaatake ay malamang na interesado sa pagkolekta ng intelektwal na ari-arian at umasa sa HUI Loader para sa paghahatid ng SodaMaster RAT. Ang iba pang kampanyang naobserbahan ng mga dalubhasa sa cybersecurity ay pinaniniwalaang sa pamamagitan ng BRONZE STARLIGHT. Sa kasong ito, ang mga hacker ay nag-drop din ng mga banta ng ransomware sa mga nalabag na device, malamang bilang isang paraan upang itago ang kanilang tunay na layunin ng pagkolekta ng sensitibong data mula sa mga biktima.