Il gruppo di hacker noto come Earth Alux, legato alla Cina, è stato recentemente identificato come responsabile di intrusioni informatiche su larga scala, prendendo di mira settori chiave come governo, tecnologia, logistica, produzione, telecomunicazioni, servizi IT e retail nelle regioni Asia-Pacifico (APAC) e America Latina (LATAM). La prima attività è stata individuata nel secondo trimestre del 2023, principalmente nella regione APAC, ma è stata successivamente osservata anche in America Latina a metà del 2024.

Gli obiettivi principali di questo collettivo di hacker includono paesi come Thailandia, Filippine, Malesia, Taiwan e Brasile. Le catene di infezione iniziano con lo sfruttamento di servizi vulnerabili in applicazioni web esposte a Internet, utilizzando queste vulnerabilità per inserire la web shell Godzilla. Questo strumento facilita il dispiegamento di payload aggiuntivi, inclusi i backdoor denominati VARGEIT e COBEACON (noto anche come Cobalt Strike Beacon).

VARGEIT è particolarmente abile nel caricare strumenti direttamente dal suo server di comando e controllo (C&C) in un nuovo processo di Microsoft Paint ("mspaint.exe"), semplificando così le operazioni di ricognizione, raccolta ed esfiltrazione dei dati. Oltre a questo, VARGEIT è il metodo principale attraverso cui Earth Alux opera strumenti supplementari per varie attività, come il movimento laterale e la scoperta della rete senza lasciare tracce su disco.

COBEACON viene utilizzato come backdoor di prima fase e viene avviato tramite un loader denominato MASQLOADER o tramite RSBINJECT, un caricatore di shellcode basato su Rust. Le versioni successive di MASQLOADER hanno implementato una tecnica anti-API hooking che sovrascrive eventuali hook NTDLL.dll inseriti dai programmi di sicurezza, consentendo al malware e al payload incorporato di passare inosservati.

L'esecuzione di VARGEIT porta all'installazione di ulteriori strumenti, inclusa una componente loader chiamata RAILLOAD, che sfrutta una tecnica nota come DLL side-loading per eseguire un payload crittografato situato in una cartella diversa. Il secondo payload è un modulo di persistenza e timestamping noto come RAILSETTER, che modifica i timestamp associati agli artefatti di RAILLOAD sull'host compromesso, creando al contempo un'attività pianificata per avviare RAILLOAD.

MASQLOADER è utilizzato anche da altri gruppi oltre a Earth Alux. La differenza nella struttura del codice di MASQLOADER rispetto ad altri strumenti suggerisce che il suo sviluppo sia separato da altri set di strumenti. Un aspetto distintivo di VARGEIT è la sua capacità di supportare 10 diversi canali per le comunicazioni C&C tramite HTTP, TCP, UDP, ICMP, DNS e Microsoft Outlook.

Earth Alux rappresenta una minaccia sofisticata ed evolutiva nel panorama della cyberespionage, utilizzando un toolkit diversificato e tecniche avanzate per infiltrarsi e compromettere vari settori, specialmente nella regione APAC e in America Latina. Il continuo sviluppo e test dei suoi strumenti indicano un impegno costante nel migliorare le proprie capacità e nell'evitare rilevamenti.