Een vermoedelijke door China gesteunde cyberspionagecampagne heeft sinds ten minste 2020 militaire organisaties in Zuidoost-Azië als doelwit. Onder de naam CL-STA-1087 volgt Palo Alto Networks Unit 42 deze dreiging, waarbij de focus ligt op gerichte inlichtingenverzameling in plaats van grootschalige datadiefstal. De aanvallers zoeken specifiek naar documenten over militaire capaciteiten, organisatiestructuren en samenwerkingen met westerse strijdkrachten.

De campagne vertoont kenmerken van een geavanceerde, aanhoudende dreiging (APT), met zorgvuldig ontwikkelde bezorgmethoden, tactieken om detectie te vermijden, stabiele infrastructuur en op maat gemaakte payloads voor langdurige ongeautoriseerde toegang. De gebruikte malware omvat backdoors genaamd AppleChris en MemFun, en een credential harvester Getpass. De aanvallen werden ontdekt na verdachte PowerShell-activiteiten, waarbij scripts een slaapperiode van zes uur inlasten voordat ze reverse shells opzetten naar command-and-control servers.

De initiële toegangsmethode is onbekend, maar na infectie verspreidt AppleChris zich lateraal binnen netwerken om persistentie te behouden en detectie te ontwijken. De aanvallers zoeken gericht naar officiële vergaderstukken, gezamenlijke militaire activiteiten en gedetailleerde operationele beoordelingen, met bijzondere interesse in bestanden over command, control, communications, computers en intelligence (C4I) systemen.

AppleChris en MemFun maken gebruik van een gedeeld Pastebin-account als dead drop om de C2-adressen op te halen, gecodeerd in Base64. Een variant van AppleChris gebruikt daarnaast Dropbox als primaire bron, met Pastebin als fallback. De malware wordt via DLL hijacking gestart en kan onder meer schijf- en procesinformatie verzamelen, bestanden beheren en een stille shell uitvoeren. MemFun werkt via een multi-stage chain waarbij een loader shellcode injecteert om een downloader in het geheugen te starten, die C2-configuraties ophaalt en de backdoor activeert. Deze modulariteit maakt het mogelijk om zonder aanpassingen nieuwe payloads te leveren.

De malware bevat ook sandbox-evasietactieken, zoals vertraagde uitvoering met timers van 30 tot 120 seconden, om automatische detectiesystemen te omzeilen. De Pastebin-activiteit dateert terug tot september 2020, wat de langdurige en strategische aard van de campagne onderstreept.