Un gruppo di hacker di lingua cinese, noto come Tropic Trooper, ha recentemente preso di mira enti governativi nel Medio Oriente e in Malesia, concentrandosi particolarmente su studi relativi ai diritti umani. Questa campagna di attacchi informatici è iniziata nel giugno 2023 e ha evidenziato un cambiamento strategico significativo per il gruppo. Secondo il ricercatore di sicurezza Sherif Magdy di Kaspersky, l'attacco è stato scoperto nel giugno 2024, quando è stata individuata una nuova versione del web shell China Chopper su un server pubblico che ospitava un sistema di gestione dei contenuti open-source chiamato Umbraco.
La catena di attacco è stata progettata per distribuire un impianto malware denominato Crowdoor, una variante del backdoor SparrowDoor documentato da ESET nel settembre 2021. Sebbene gli sforzi finali degli attaccanti non abbiano avuto successo, l'intrusione è comunque significativa. Tropic Trooper, noto anche come APT23, Earth Centaur, KeyBoy e Pirate Panda, è attivo dal 2011 e ha precedentemente preso di mira settori governativi, sanitari, dei trasporti e delle alte tecnologie in Taiwan, Hong Kong e Filippine. Questo gruppo condivide legami stretti con un altro set di intrusioni noto come FamousSparrow.
L'intrusione recente ha visto la compilazione del web shell China Chopper come modulo .NET del CMS Umbraco, seguita dall'uso di strumenti per la scansione della rete, il movimento laterale e l'evasione delle difese. L'attacco culminava con il lancio di Crowdoor utilizzando tecniche di DLL side-loading. Si sospetta che i web shell siano stati distribuiti sfruttando vulnerabilità di sicurezza note in applicazioni web pubblicamente accessibili, come Adobe ColdFusion (CVE-2023-26360) e Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523 e CVE-2021-31207).
Crowdoor, osservato per la prima volta nel giugno 2023, funziona anche come loader per distribuire Cobalt Strike e mantenere la persistenza sugli host infetti. Inoltre, agisce come backdoor per raccogliere informazioni sensibili, avviare una shell inversa, cancellare altri file malware e terminare se stesso. Quando gli attaccanti si sono resi conto che i loro backdoor erano stati rilevati, hanno tentato di caricare nuovi campioni per eludere la rilevazione, aumentando così il rischio di essere scoperti nuovamente.
L'importanza di questa intrusione risiede nel fatto che un attore di lingua cinese ha preso di mira una piattaforma di gestione dei contenuti che pubblicava studi sui diritti umani in Medio Oriente, con un'attenzione particolare alla situazione del conflitto Israele-Hamas. L'analisi ha rivelato che l'intero sistema era l'unico obiettivo durante l'attacco, indicando una focalizzazione deliberata su questo contenuto specifico.
