APT Tropic Trooper Ataca Roteadores Domésticos e Alvos Japoneses

A APT Tropic Trooper, também conhecida como Pirate Panda, KeyBoy ou APT23, e ligada à China, comprometeu o roteador doméstico de uma vítima para sobrescrever as configurações de DNS. O objetivo era redirecionar uma atualização legítima do dicionário youdaodict.exe para um servidor controlado pelo atacante, em um ataque de supply chain do tipo “evil twin”, entregando um beacon de Cobalt Strike com a marca d'água 520, característica do grupo, via um payload .xml trojanizado.

Pesquisadores da Itochu e do Zscaler ThreatLabz descriptografaram cinco payloads .dat, revelando novas ferramentas, incluindo DaveShell, o loader Donut, os RATs Mythic-framework Merlin e Apollo Go, e um backdoor Go customizado chamado C6DOOR. Foi exposto um bucket S3 que hospedava 48 arquivos com páginas de phishing que se passavam por Signal, visando indivíduos de língua chinesa no Japão, Taiwan e Coreia do Sul. Uma campanha paralela observada pelo Zscaler detectou um binário trojanizado do SumatraPDF implantando o AdaptixC2 e o VS Code. Para a defesa, as empresas devem auditar o firmware de roteadores SOHO e as configurações de DNS em busca de alterações não autorizadas, ingerir a lista de IOCs do Zscaler ThreatLabz e buscar na telemetria de endpoint beacons de Cobalt Strike que carreguem a marca d'água 520.