Militaire organisaties in Zuidoost-Azië zijn doelwit van een langdurige cyberspionagecampagne die wordt toegeschreven aan een door de staat gesponsorde groep met banden in China, meldt Palo Alto Networks. De campagne, die vermoedelijk sinds 2020 actief is, kenmerkt zich door geduldige operaties waarbij de aanvallers maandenlang onopgemerkt bleven binnen de getroffen netwerken.

De aanvallers, bekend onder de codenaam CL-STA-1087, zochten specifiek naar documenten over militaire capaciteiten, organisatiestructuren en samenwerkingen met westerse strijdkrachten. Tijdens de inbraken werden op maat gemaakte tools ingezet, waaronder de backdoors AppleChris en MemFun, evenals de Getpass credential stealer. Daarnaast werden kwaadaardige PowerShell-scripts op afstand uitgevoerd op diverse geïnfecteerde systemen. Hoewel de initiële infectieweg onbekend is, kon Palo Alto Networks vaststellen dat de groep in ten minste één geval maandenlang toegang had tot een netwerk voordat de activiteiten werden hervat.

De hackers gebruikten PowerShell-scripts om reverse shells op te zetten naar command-and-control (C&C) servers en plaatsten de AppleChris backdoor. Via WMI en Windows .NET-commando’s infecteerden zij domeincontrollers, webservers, werkstations en systemen op directieniveau. Voor blijvende toegang en uitvoering van payloads creëerden zij een nieuwe service en misbruikten zij DLL hijacking door een kwaadaardige DLL in de System32-map te plaatsen, geladen via een shadow copy service. Na laterale bewegingen richtten zij zich op gevoelige bestanden zoals officiële vergaderverslagen, operationele beoordelingen en details van gezamenlijke militaire activiteiten.

De aanvallers toonden bijzondere interesse in documenten over militaire organisatiestructuren en strategieën, waaronder command, control, communications, computers en intelligence (C4I) systemen. De AppleChris backdoor werd in meerdere varianten ingezet, waaronder een vroege versie die Dropbox en Pastebin gebruikte als communicatiekanalen, en een geavanceerdere variant met netwerkproxyfuncties. De malware communiceert dynamisch met C&C-servers en kan onder meer bestanden beheren, processen enumereren en shell-commando’s uitvoeren.

Naast AppleChris werd ook MemFun ingezet, een multi-stage malware die gebruikmaakt van reflective DLL loading, en Getpass, een aangepaste versie van Mimikatz gericht op het stelen van credentials uit tien specifieke Windows authenticatiepakketten. Analyse van aanmaakdata van Pastebin-accounts en malware compilatietijdstempels wijst op activiteit sinds ten minste 2020. De aanvallers communiceerden langdurig met meerdere geïnfecteerde netwerken via Pastebin en Dropbox, waarbij zij hun infrastructuur regelmatig bijwerkten.

De operationele planning van de groep volgt een UTC+8 tijdzone, overeenkomend met kantooruren in China en andere Aziatische regio’s. De combinatie van militaire doelwitten in Zuidoost-Azië, het gebruik van China-gebaseerde cloudinfrastructuur en het gebruik van vereenvoudigd Chinees op een C&C loginpagina wijst erop dat de campagne waarschijnlijk vanuit China wordt uitgevoerd, aldus Palo Alto Networks.