- Gần đây, chiến dịch tấn công đã được phát hiện nằm mục tiêu vào các tổ chức ở Đông Á bằng công cụ mã nguồn mở SparkRAT.

Đối tượng tấn công sử dụng cơ sở hạ tầng đã bị xâm nhập như cửa hàng bán lẻ sản phầm dành cho trẻ em, phòng trưng bày nghệ thuật cũng như các trang web trò chơi cờ bạc ở Trung Quốc, Hồng Kông, Singapore và Đài Loan.

Đối tượng tấn công lạm dụng máy chủ web và máy chủ cơ sở dữ liệu MySQL để truy cập lần đầu và sử dụng China Chopper để triển khai webshell thông qua SQL injection, XSS. Kẻ tấn công có thể tấn công leo thang đặc quyền, triển khai phần mềm độc hại và công cụ được lưu trữ tại C&C.

Đối tượng tấn công chủ yếu dựa vào nhiều công cụ nguồn mở như BadPotatom SharpToken, GotoHTTP, ShellCode_Loader và m6699[.]exe. Các công cụ nguồn mở này đã được nhiều nhóm tấn công của Trung Quốc sử dụng trong chiến dịch của họ. Vào cuối tháng 12 năm 2022,

Microsoft đã báo cáo về dấu hiệu của những kẻ tấn công sử dụng SparkRAT.

Phần mềm độc hại Zegost cũng được sử dụng bởi nhóm FinGhost để nhằm mục tiêu vào một cơ quan chính phủ Trung Quốc vào tháng 9 năm 2022. Đáng chú ý, các nhà nghiên cứu đã tìm thấy một địa chỉ C2 chung giữa các nhóm Zegost và DragonSpark. Webshell của China Chopper đã được sử dụng bởi các nhóm tội phạm mạng và gián điệp Trung Quốc như TG3390 và Leviathan.

DragonSpark sử dụng phần mềm nguồn mở và phần mềm độc hại dựa trên Golang để tránh bị phát hiện bằng cách làm xáo trộn việc triển khai phần mềm độc hại. Điều này cho thấy rằng các đối tượng tấn công mạng Trung Quốc vẫn đang tích cực mở rộng kho vũ khí và chia sẻ công cụ với nhau.

PV