Când discutăm despre atacuri cibernetice care rămân neobservate ani la rând, APT24 revine în prim-plan: un grup asociat Chinei a folosit un malware nou denumit BadAudio într-o campanie de spionaj ce a durat cel puțin din 2022 până în 2025, vizând preponderent sisteme Windows printr-o combinație de spearphishing, compromitere a lanțului de aprovizionare și atacuri de tip watering hole.
Între începutul lui 2022 și toamna lui 2025, cercetătorii Google Threat Intelligence Group au constatat că APT24 a compromis peste 20 de site-uri publice legitime din diverse domenii pentru a injecta cod JavaScript malițios. Acest script analiza vizitatorii și, dacă identifica o țintă relevantă, afișa un pop-up care imita o actualizare de software pentru a convinge utilizatorul să descarce BadAudio. Metoda este simplă, dar eficientă: utilizatorii văd o fereastră aparent legitimă, în timp ce în fundal au loc colectarea de informații și livrarea malware-ului.
Din iulie 2024, atacatorii au extins această tehnică asupra unei firme de marketing digital din Taiwan care furniza biblioteci JavaScript clienților. Prin injectarea unui cod într-o bibliotecă larg distribuită și prin înregistrarea unui domeniu ce imita un CDN legitim, APT24 a reușit să compromită peste 1.000 de domenii. În perioada de la sfârșitul lui 2024 până în iulie 2025, aceeași companie a fost compromisă în mod repetat: atacatorii plasau cod JavaScript obfuscat într-un fișier JSON modificat, încărcat de un alt fișier JavaScript al furnizorului. Când acel cod rula, realiza fingerprinting al vizitatorilor și trimitea rapoarte codate în base64 către serverele atacatorilor, care decideau apoi dacă livrează sau nu URL-ul etapei următoare. Practic, vizitatorii cu potențial interes erau identificați și doar pentru aceștia era activată capcana.
Pe lângă atacurile asupra lanțului de aprovizionare, din august 2024 APT24 a desfășurat și campanii de spearphishing. Mesajele imitau organizații de protecție a animalelor pentru a păcăli destinatarii. Unele variante foloseau servicii legitime de cloud, precum Google Drive sau OneDrive, pentru distribuirea malware-ului în loc să folosească servere proprii. Google notează că multe din aceste încercări au fost detectate și marcate ca spam, însă în exemplele observate e-mailurile conțineau și pixeli de urmărire pentru a confirma momentul deschiderii.
BadAudio, pe scurt, funcționează ca un loader foarte obfuscat. Cercetătorii GTIG afirmă că malware-ul abuzează ordinea de căutare a DLL-urilor, astfel încât un payload malițios este încărcat de o aplicație legitimă. În plus, autorii au folosit control flow flattening, o tehnică avansată de obfuscare care transformă fluxul normal al programului în blocuri de cod separate, coordonate de un dispatcher și o variabilă de stare. Aceasta complică foarte mult analiza codului, fie manual, fie automat.
După rulare pe sistem, BadAudio colectează informații de bază: numele hostului, numele utilizatorului, arhitectura sistemului. Datele sunt criptate cu o cheie AES hardcodată și trimise către un server de comandă și control. Loader-ul descarcă apoi un payload AES-criptat, îl decriptează și îl execută în memorie utilizând tehnici de DLL sideloading pentru a eluda detectarea. În cel puțin un caz, cercetătorii Google au observat implantarea Cobalt Strike Beacon prin intermediul BadAudio, deși prezența Beacon-ului nu a putut fi confirmată în toate instanțele analizate.
Un aspect îngrijorător este că pachetele BadAudio au rămas mult timp aproape nedetectate: din cele opt mostre puse la dispoziție de GTIG, doar două erau identificate ca malițioase de mai mult de 25 de motoare antivirus pe VirusTotal; restul erau detectate de maximum cinci soluții. Aceasta reflectă capacitatea APT24 de a adopta tactici tot mai stealth, bazate pe persistență și adaptabilitate operațională.
Campania demonstrează cât de versatile sunt atacurile cibernetice moderne: combinarea compromiterii lanțului de aprovizionare, a paginilor web compromise și a campaniilor bine direcționate de spearphishing le permite actorilor sofisticați să atace ținte precise și să rămână nevăzuți pentru perioade lungi. Exemple concrete, compromiterea unei firme de marketing din Taiwan, folosirea unui CDN fals, peste 1.000 de domenii afectate, utilizarea Google Drive/OneDrive pentru livrare și detectarea limitată pe VirusTotal, arată cum amenințatorii exploatează ecosistemul web global.
Google a publicat analiza GTIG și câteva mostre pentru comunitatea de securitate, iar de aici ar trebui să pornească contramăsuri: audituri mai stricte ale librăriilor JavaScript terțe, monitorizare a comportamentului site-urilor, blocarea domeniilor impostor și prudență sporită la e-mailurile care solicită descărcări, chiar dacă par a proveni de la organizații caritabile. BadAudio rămâne un exemplu al importanței monitorizării lanțului de aprovizionare digital și a semnării surselor de cod.
Tehnicile BadAudio și cele folosite de APT24 arată o abordare bine calculată: compromiterea unei firme de marketing din Taiwan, injectarea de JavaScript obfuscat în fișiere JSON, folosirea CDN-urilor impostor și trimiterea de mesaje cu pixeli de urmărire. Aceste elemente ne reamintesc că o protecție eficientă necesită atât instrumente tehnologice, cât și proceduri stricte pentru verificarea terților și gestionarea actualizărilor software. Ce măsură practică consideri că ar fi cea mai eficientă pentru a diminua riscul din lanțurile de aprovizionare web?
Fii primul care comentează