كشفت شركة Zscaler ThreatLabz عن حملة جديدة تستهدف ناطقين بالصينية في تايوان، إضافة إلى أفراد في كوريا الجنوبية واليابان، حيث اعتمدت مجموعة القرصنة المعروفة باسم Tropic Trooper (المعروفة أيضًا بـ APT23 وEarth Centaur وKeyBoy وPirate Panda) على نسخة مزورة من برنامج قراءة الملفات SumatraPDF لنشر وكيل ما بعد الاختراق AdaptixC2 Beacon. هذه المجموعة، النشطة منذ عام 2011، اشتهرت باستهداف كيانات في تايوان وهونغ كونغ والفلبين، وتواصل تطوير أدواتها وأساليبها.
آلية الهجوم متعددة المراحل
الهجوم يبدأ بملف مضغوط يحتوي على مستندات ذات طابع عسكري تُستخدم كطُعم لإطلاق النسخة المزورة من SumatraPDF. البرنامج المزور يعرض مستندًا وهميًا لإخفاء النشاط الخبيث، بينما يقوم في الخلفية بجلب شيفرة مشفرة من خادم مرحلي لتشغيل AdaptixC2 Beacon.
النسخة المعدلة من SumatraPDF تعتمد على محمل يُعرف باسم TOSHIS، وهو نسخة من برمجية Xiangoop المرتبطة سابقًا بـ Tropic Trooper، والتي استُخدمت لجلب حمولات لاحقة مثل Cobalt Strike Beacon أو وكيل Merlin الخاص بإطار عمل Mythic.
استغلال GitHub كمنصة للتحكم والسيطرة
الوكيل AdaptixC2 Beacon يستخدم GitHub كمنصة للتحكم والسيطرة (C2)، حيث يتواصل مع البنية التحتية التي يسيطر عليها المهاجمون للحصول على المهام وتنفيذها على الأجهزة المصابة. الهجوم لا ينتقل إلى المرحلة التالية إلا إذا اعتُبر الهدف ذا قيمة، عندها يقوم المهاجمون بنشر Visual Studio Code وإعداد أنفاق VS Code لتأمين وصول عن بُعد. في بعض الحالات، يتم تثبيت تطبيقات مزورة إضافية لإخفاء النشاط الخبيث بشكل أفضل.
البنية التحتية والبرمجيات المستخدمة
الخادم المرحلي المرتبط بالهجوم (158.247.193[.]100) استُخدم لاستضافة برمجيات خبيثة أخرى مثل Cobalt Strike Beacon وEntryShell، وكلاهما سبق أن وظفته المجموعة في حملات سابقة. هذا يعكس اعتماد Tropic Trooper على مزيج من أدوات عامة متاحة مثل Cobalt Strike، وأخرى مخصصة مثل AdaptixC2، لتوسيع قدراتها في الاختراق والتحكم.
