De bekende door China gesteunde dreigingsgroep APT41 heeft een nieuwe backdoor ontwikkeld die gericht is op het stelen van inloggegevens uit cloudomgevingen. Deze backdoor is ontworpen om onopgemerkt te blijven en wordt ingezet tegen grote cloudplatforms zoals AWS, Google Cloud, Microsoft Azure en Alibaba Cloud.

Om de communicatie met command-and-control (C2) servers te verbergen, maakt APT41 gebruik van typosquatting, een techniek waarbij domeinnamen worden geregistreerd die sterk lijken op legitieme adressen maar kleine typfouten bevatten. Hierdoor wordt het lastiger voor beveiligingsteams om de kwaadaardige communicatie te detecteren. De inzet van deze backdoor stelt de groep in staat om toegang te verkrijgen tot waardevolle cloudcredentials, waarmee zij verder in de doelomgeving kunnen doordringen en mogelijk gevoelige data kunnen exfiltreren.