MirageFox RAT

Le Ke3chang APT (Advanced Persistent Threat) est un tristement célèbre groupe de piratage chinois qui a fait la une des journaux dans le monde entier. Les cyber-escrocs derrière le Ke3chang APT sont également connus sous le nom d'APT15. L' APT Ke3chang a une liste substantielle d'outils de piratage, et l'un d'entre eux est le MirageFox RAT (Remote Access Trojan).

Le MirageFox RAT est généralement utilisé comme charge utile de deuxième étage. La menace permet au groupe Ke3chang d'effectuer diverses tâches menaçantes sur l'hôte compromis. Le MirageFox RAT peut être utile comme outil de reconnaissance à long terme, en particulier. Cet outil de piratage est capable de siphonner des données et des fichiers ciblés de l'hôte infecté, ainsi que d'appliquer des modifications aux paramètres de sécurité du système compromis. Ce dernier est une fonctionnalité très utile qui permettrait aux attaquants d'injecter des logiciels malveillants supplémentaires dans le PC ciblé.

Les copies MirageFox RAT semblent avoir une adresse IP codée en dur, qui est utilisée pour un serveur C&C (Command & Control). De plus, étant donné que le MirageFox RAT est utilisé comme charge utile secondaire, la menace est modifiée en fonction des propriétés de l'hôte ciblé - il est évident que les attaquants déploient la menace manuellement. Le MirageFox RAT n'essaie pas de gagner en persistance sur le PC infecté, car les attaquants peuvent lancer la menace manuellement quand ils le souhaitent.

Le groupe de piratage Ke3chang est probablement un APT parrainé par l'État, ce qui signifie qu'il pourrait être financé directement depuis Pékin. Cet APT est connu pour cibler les entités gouvernementales étrangères, ainsi que les grandes entreprises qui opèrent dans des secteurs clés tels que l'énergie, l'armée, l'aérospatiale, etc. Ils sont également connus pour utiliser des logiciels malveillants personnalisés aux côtés de logiciels légitimes pour mener à bien leurs opérations.