Κινέζοι Χάκερ Στοχεύουν Linux με SNOWLIGHT και VShell

Η ομάδα απειλής από την Κίνα, γνωστή ως UNC5174, έχει αποδοθεί σε μια νέα εκστρατεία που αξιοποιεί μια παραλλαγή του γνωστού κακόβουλου λογισμικού SNOWLIGHT και ένα νέο εργαλείο ανοικτού κώδικα που ονομάζεται VShell για την μόλυνση συστημάτων Linux.

Ανάλυση από ερευνητές

Οι δράστες απειλών χρησιμοποιούν ολοένα και περισσότερο εργαλεία ανοικτού κώδικα για οικονομία και απόκρυψη, καθιστώντας την απόδοση της ευθύνης πιο δύσκολη, όπως αναφέρει η ερευνήτρια της Sysdig, Alessandra Rizzo. Η συγκεκριμένη ομάδα απειλής, που συνδέεται με την κινεζική κυβέρνηση, έχει παραμείνει απαρατήρητη τον τελευταίο χρόνο.

Προηγούμενες επιθέσεις και εργαλεία

Η UNC5174, επίσης γνωστή ως Uteus, έχει καταγραφεί από την Mandiant της Google να εκμεταλλεύεται ευπάθειες σε λογισμικά όπως το Connectwise ScreenConnect και το F5 BIG-IP για να διανείμει το SNOWLIGHT, το οποίο κατεβάζει το GOHEAVY από υποδομές συνδεδεμένες με το πλαίσιο SUPERSHELL.

Νέες επιθέσεις και στόχοι

Στις πρόσφατες επιθέσεις χρησιμοποιήθηκε επίσης το GOREVERSE, ένα backdoor γραμμένο σε Golang που λειτουργεί μέσω SSH. Η γαλλική ANSSI ανέφερε ότι παρατηρήθηκε παρόμοια τεχνική από την UNC5174 για την εκμετάλλευση ευπαθειών σε συσκευές Ivanti CSA.

Επιθέσεις σε macOS και VShell

Το SNOWLIGHT και το VShell στοχεύουν και συστήματα macOS, με το τελευταίο να διανέμεται ως ψεύτικη εφαρμογή Cloudflare. Στην αλυσίδα επιθέσεων που παρατηρήθηκε τον Ιανουάριο του 2025, το SNOWLIGHT λειτουργεί ως dropper για το VShell, ένα RAT που χρησιμοποιείται ευρέως από Κινέζους κυβερνοεγκληματίες.

Διεθνείς αντιδράσεις και κατηγορίες

Η TeamT5 αποκάλυψε ότι μια ομάδα χάκερ από την Κίνα πιθανόν εκμεταλλεύτηκε ευπάθειες σε συσκευές Ivanti για να αναπτύξει το κακόβουλο λογισμικό SPAWNCHIMERA, στοχεύοντας πολλούς τομείς σε σχεδόν 20 χώρες. Οι αποκαλύψεις αυτές συνδέονται με κατηγορίες από την Κίνα ότι η NSA των Η.Π.Α. εξαπέλυσε προηγμένες κυβερνοεπιθέσεις κατά τη διάρκεια των Ασιατικών Χειμερινών Αγώνων.