Il gruppo di hacker statali cinesi APT41, noto anche come Brass Typhoon, Earth Baku, Wicked Panda o Winnti, ha recentemente colpito il settore del gioco d'azzardo e del gaming con un complesso attacco informatico mirato al guadagno finanziario. Durante un periodo di almeno sei mesi, questi attori malevoli hanno raccolto informazioni preziose dalle aziende bersagliate, tra cui configurazioni di rete, password degli utenti e segreti del processo LSASS. Questi attacchi sono parte di una campagna sofisticata che ha coinvolto l'uso di strumenti personalizzati per eludere i software di sicurezza e ottenere accesso remoto persistente.

APT41 si distingue per la sua abilità e metodologia nel condurre attacchi di spionaggio e compromissione della supply chain, portando a furti di proprietà intellettuale e intrusioni finanziarie come ransomware e mining di criptovalute. Non è chiaro quale sia stato il vettore di accesso iniziale utilizzato nell'attacco, ma le prove suggeriscono l'uso di email di spear-phishing, dato l'assenza di vulnerabilità attive nelle applicazioni web esposte a Internet.

Una volta penetrati nell'infrastruttura bersaglio, gli hacker hanno eseguito un attacco DCSync per raccogliere hash delle password di account di servizio e amministrativi, facilitando così l'espansione del loro accesso. Con queste credenziali, hanno mantenuto il controllo della rete, concentrandosi su account amministrativi e di sviluppo. Gli attacchi sono stati condotti in maniera metodica, con attività di ricognizione e post-sfruttamento che includevano tecniche come il Phantom DLL Hijacking e l'uso dell'utilità legittima wmic.exe.

La fase successiva dell'attacco coinvolge l'uso di un file DLL malevolo, TSVIPSrv.dll, recuperato tramite il protocollo SMB, che stabilisce un contatto con un server di comando e controllo (C2) codificato. Se il C2 codificato fallisce, l'impianto tenta di aggiornare le informazioni sui C2 eseguendo una ricerca su GitHub per generare una nuova stringa di caratteri che codifica l'indirizzo IP del nuovo server C2 da utilizzare nell'attacco.

Dopo che le loro attività sono state rilevate, gli attori della minaccia sono rimasti inattivi per alcune settimane, per poi tornare con un approccio rinnovato che includeva l'esecuzione di codice JavaScript pesantemente offuscato. Questo codice JavaScript, presente in una versione modificata di un file XSL, viene utilizzato per scaricare ulteriori payload e inviare informazioni al server C2, filtrando i dispositivi di interesse per l'attaccante. In particolare, l'attacco si focalizza su macchine con indirizzi IP contenenti la sottostringa '10.20.22', indicando un interesse specifico per i dispositivi all'interno di subnet VPN.