Recentemente è emerso un nuovo cluster di attività illecite, noto come Earth Minotaur, che sfrutta il kit di exploit MOONSHINE e un backdoor non documentato chiamato DarkNimbus. Questo gruppo si concentra su operazioni di sorveglianza a lungo termine, prendendo di mira principalmente le comunità tibetane e uigure. Earth Minotaur utilizza MOONSHINE per distribuire il backdoor DarkNimbus su dispositivi Android e Windows, mirando in particolar modo agli utenti della popolare applicazione di messaggistica WeChat, rendendo la minaccia potenzialmente multipiattaforma.

Analisi di Trend Micro

Secondo l'analisi di Trend Micro, il kit MOONSHINE sfrutta molteplici vulnerabilità note nei browser e nelle applicazioni basate su Chromium, sottolineando l'importanza di mantenere i software aggiornati per evitare attacchi. Le nazioni colpite dagli attacchi di Earth Minotaur includono paesi come Australia, Belgio, Canada, Francia, Germania, Italia, Giappone, Nepal e Stati Uniti.

Origini e sviluppo di MOONSHINE

MOONSHINE è stato scoperto per la prima volta nel settembre 2019, quando faceva parte di attacchi informatici contro la comunità tibetana. Questo kit di exploit per Android sfrutta diverse falle nei browser Chrome per installare payload che sottraggono dati sensibili dai dispositivi compromessi. È noto per incorporare codice mirato ad applicazioni come Google Chrome, Naver e app di messaggistica istantanea come LINE, QQ e Zalo.

Connessioni e vulnerabilità

Earth Minotaur non ha connessioni dirette con Earth Empusa, un altro attore di minacce noto per colpire le stesse comunità. Tuttavia, la nuova variante di MOONSHINE ha aggiunto al suo arsenale di exploit la vulnerabilità CVE-2020-6418, una falla nel motore JavaScript V8 corretta da Google nel febbraio 2020.

Tattiche di Earth Minotaur

I messaggi ingannevoli inviati da Earth Minotaur attraverso app di messaggistica istantanea contengono link malevoli che, una volta cliccati, reindirizzano le vittime a server di exploit MOONSHINE. Questi server installano il backdoor DarkNimbus sui dispositivi delle vittime. I link appaiono innocui, mascherandosi come annunci correlati alla Cina o video online di musica e danze tibetane o uigure.

Strategie di attacco e DarkNimbus

Nel caso in cui il browser Tencent non sia vulnerabile agli exploit supportati da MOONSHINE, il server restituisce una pagina di phishing che avvisa l'utente di WeChat di dover aggiornare il browser integrato, inducendo un attacco di downgrade. Questa mossa permette agli attaccanti di sfruttare le vulnerabilità non corrette.

DarkNimbus, sviluppato dal 2018, comunica con un server controllato dagli attaccanti e supporta una vasta gamma di comandi per raccogliere informazioni preziose. Può eseguire comandi shell, registrare telefonate e raccogliere messaggi da varie app di messaggistica. Trend Micro ha anche rilevato una versione per Windows di DarkNimbus, che raccoglie informazioni di sistema e dati sensibili.

Conclusioni

Sebbene le origini di Earth Minotaur non siano ancora chiare, la sofisticazione degli strumenti utilizzati suggerisce che siano un attore di minacce altamente capace. Questo gruppo si unisce a una lunga lista di avversari che hanno preso di mira la diaspora tibetana e uigure, tra cui Earth Wendigo, Scarlet Mimic e Flea. MOONSHINE, ancora in fase di sviluppo, è condiviso con più attori di minacce, tra cui Earth Minotaur e POISON CARP.