HUI Loader

Une menace malveillante qui a été utilisée dans les campagnes d'attaque pendant des années, est désormais liée aux activités des groupes APT (Advanced Persistence Threat) soutenus par Chinse. Le logiciel malveillant connu sous le nom de HUI Loader a été identifié pour la première fois en 2015, mais les liens vers plusieurs groupes de pirates parrainés par l'État n'ont été confirmés que récemment. Des détails sur la menace et les acteurs de la menace qui l'utilisent dans le cadre de leur boîte à outils menaçante ont été révélés dans un rapport de la Secureworks Counter Threat Unit (CTU).

Le chargeur HUI est déployé dans les premières étapes de l'infection et est chargé de la livraison et de l'exécution des charges utiles de l'étape suivante. La menace est probablement transmise aux systèmes ciblés via des programmes légitimes qui ont été soumis à une technique connue sous le nom de détournement d'ordre de recherche DLL. Une fois établi et exécuté en mémoire, il a été observé que le chargeur HUI chargeait divers RAT (chevaux de Troie d'accès à distance), notamment SodaMaster, Cobalt Strike , PlugX et QuasarRAT.

Les chercheurs de la CTU ont découvert que le HUI Loader faisait partie de campagnes d'attaque contre des entités japonaises, mais ils présument que des organisations européennes et américaines pourraient également être ciblées. L'un des pôles d'activités est attribué à l'A41APT. Les attaquants étaient probablement intéressés par la collecte de propriété intellectuelle et se sont appuyés sur le HUI Loader pour la livraison du SodaMaster RAT. L'autre campagne observée par les experts en cybersécurité serait celle du BRONZE STARLIGHT. Dans ce cas, les pirates ont également largué des menaces de ransomware sur les appareils piratés, probablement pour cacher leur véritable objectif de collecter des données sensibles auprès des victimes.