Un'importante società di telecomunicazioni asiatica è stata compromessa da hacker cinesi sponsorizzati dallo stato, che sono rimasti inosservati per oltre quattro anni all'interno dei suoi sistemi. La società di risposta agli incidenti Sygnia ha tracciato l'attività sotto il nome di "Weaver Ant", descrivendo l'attore della minaccia come furtivo e altamente persistente. L'identità del fornitore di telecomunicazioni non è stata rivelata.

Gli hacker hanno utilizzato shell web e tunneling per mantenere la persistenza e facilitare lo spionaggio informatico, mirando a ottenere e mantenere un accesso continuo ai fornitori di telecomunicazioni e raccogliere informazioni sensibili. Oren Biderman, leader del team di risposta agli incidenti e forense digitale presso Sygnia, ha dichiarato che Weaver Ant ha sfruttato una configurazione errata in un'applicazione esposta pubblicamente per ottenere un primo accesso all'ambiente bersaglio.

La catena d'attacco ha utilizzato questo accesso per installare due diverse shell web, una variante crittografata di China Chopper e uno strumento malevolo precedentemente non documentato chiamato INMemory. È importante notare che China Chopper è stato utilizzato da diversi gruppi di hacker cinesi in passato.

INMemory è progettato per decodificare una stringa codificata in Base64 ed eseguirla interamente in memoria, senza scriverla su disco, lasciando così nessuna traccia forense. Le shell web sono state utilizzate come trampolino di lancio per distribuire payload successivi, tra cui uno strumento di tunneling HTTP ricorsivo utilizzato per facilitare i movimenti laterali su SMB, una tattica adottata in precedenza da altri attori della minaccia come Elephant Beetle.

Il traffico crittografato che attraversa il tunnel della shell web funge da condotto per eseguire una serie di azioni post-sfruttamento, tra cui il bypass dei rilevamenti di sicurezza e l'esecuzione di comandi di ricognizione contro l'ambiente Active Directory compromesso per identificare account ad alta priorità e server critici. Sygnia ha affermato che Weaver Ant mostra caratteristiche tipicamente associate a un gruppo di spionaggio informatico di origine cinese, grazie ai modelli di targeting e agli obiettivi "ben definiti" della campagna.

L'attacco è stato facilitato dall'uso di una rete di relay operativi composta da router Zyxel per proxyare il traffico e oscurare la loro infrastruttura. Inoltre, sono stati impiegati backdoor basati su Outlook precedentemente attribuiti a Emissary Panda. Durante questo periodo, Weaver Ant ha adattato le proprie tattiche alle mutate condizioni della rete, impiegando metodi innovativi per riguadagnare l'accesso e mantenere il loro punto d'appoggio.