Gli attacchi informatici non conoscono confini e l'ultima scoperta di Trend Micro ne è una dimostrazione. Si tratta di un malware cross-platform chiamato KTLVdoor, utilizzato da un gruppo di hacker di lingua cinese noto come Earth Lusca. Questo malware è stato rilevato durante un attacco a una società di trading cinese, evidenziando una minaccia significativa per le aziende in tutto il mondo.

KTLVdoor è scritto in Golang, il che lo rende una minaccia versatile capace di colpire sia sistemi Microsoft Windows che Linux. Una delle caratteristiche più preoccupanti di questo malware è la sua alta obfuscazione, che gli permette di mascherarsi come diverse utility di sistema. Ciò consente agli attaccanti di eseguire vari compiti, inclusi la manipolazione di file, l'esecuzione di comandi e la scansione remota delle porte. Alcuni degli strumenti che KTLVdoor imita includono sshd, Java, SQLite, bash ed edr-agent. Questo rende il malware particolarmente difficile da rilevare e neutralizzare.

Un altro aspetto inquietante di questa minaccia è la rete di oltre 50 server di comando e controllo (C&C) associati, tutti ospitati presso Alibaba, una compagnia cinese. Questo suggerisce che l'infrastruttura potrebbe essere condivisa con altri gruppi di hacker cinesi. Earth Lusca non è un nome nuovo nel panorama delle minacce informatiche; attivo almeno dal 2021, è noto per attaccare enti pubblici e privati in Asia, Australia, Europa e Nord America. Le sue tattiche mostrano somiglianze con altri gruppi di intrusione come RedHotel e APT27, noti anche come Budworm, Emissary Panda e Iron Tiger.

L'arsenale di Earth Lusca si arricchisce con KTLVdoor, che prende il nome da un marcatore "KTLV" nel suo file di configurazione. Questo marcatore include vari parametri necessari per le sue funzioni, inclusi i server C&C a cui connettersi. Una volta inizializzato, il malware stabilisce un contatto continuo con il server C&C, attendendo ulteriori istruzioni da eseguire sull'host compromesso. I comandi supportati permettono di scaricare o caricare file, enumerare il file system, lanciare una shell interattiva, eseguire shellcode e iniziare scansioni utilizzando strumenti come ScanTCP, ScanRDP, DialTLS, ScanPing e ScanWeb.

Nonostante le numerose funzionalità e capacità di KTLVdoor, non è ancora chiaro come venga distribuito e se sia stato utilizzato per colpire altre entità a livello globale. I ricercatori di Trend Micro suggeriscono che potrebbe essere condiviso con altri attori di minacce di lingua cinese. La presenza di server C&C su IP cinesi solleva ulteriori domande sulla possibile fase di test di nuovi strumenti da parte di questi attori.