Il gruppo di cybercriminali noto come APT-C-60 è stato recentemente collegato a un attacco informatico che ha preso di mira un'organizzazione non specificata in Giappone. Questo attacco ha utilizzato un'esca a tema di domanda di lavoro per distribuire il malware SpyGlace. Secondo le scoperte di JPCERT/CC, l'intrusione ha sfruttato servizi legittimi come Google Drive, Bitbucket e StatCounter, ed è stata condotta intorno ad agosto 2024.

APT-C-60

APT-C-60 è il nome assegnato a un gruppo di spionaggio informatico allineato con la Corea del Sud, noto per prendere di mira i paesi dell'Asia orientale. Nell'agosto 2024, è stato osservato mentre sfruttava una vulnerabilità di esecuzione di codice remoto in WPS Office per Windows (CVE-2024-7262) per lanciare una backdoor personalizzata chiamata SpyGlace.

Catena di attacco

La catena di attacco scoperta da JPCERT/CC coinvolge l'uso di un'email di phishing contenente un link a un file ospitato su Google Drive, un file VHDX, che, una volta scaricato e montato, include un documento esca e un collegamento di Windows ("Self-Introduction.lnk"). Il file LNK è responsabile dell'avvio dei passaggi successivi nella catena di infezione, mostrando anche il documento esca come distrazione.

Downloader e dropper

Il payload downloader/dropper chiamato "SecureBootUEFI.dat" è lanciato e utilizza StatCounter per trasmettere una stringa che può identificare in modo univoco un dispositivo vittima tramite il campo HTTP referer. La stringa è derivata dal nome del computer, dalla directory principale e dal nome utente, e viene codificata.

Il downloader poi accede a Bitbucket utilizzando la stringa unica codificata per recuperare lo stadio successivo, un file conosciuto come "Service.dat", che scarica altri due artefatti da un diverso repository Bitbucket – "cbmp.txt" e "icon.txt" – salvati rispettivamente come "cn.dat" e "sp.dat". "Service.dat" mantiene anche "cn.dat" sull'host compromesso usando una tecnica chiamata COM hijacking, dopo di che esegue la backdoor SpyGlace ("sp.dat").

Backdoor e comando e controllo

La backdoor stabilisce un contatto con un server di comando e controllo ("103.187.26[.]176") e attende ulteriori istruzioni che le permettono di rubare file, caricare plugin aggiuntivi ed eseguire comandi. Vale la pena notare che le aziende di sicurezza informatica Chuangyu 404 Lab e Positive Technologies hanno riportato indipendentemente campagne identiche che distribuiscono il malware SpyGlace, evidenziando prove che puntano ad APT-C-60 e APT-Q-12 (alias Pseudo Hunter) come sottogruppi all'interno del cluster DarkHotel.