I en bekymrende udvikling er en nylig opdaget malware-stamme, der stammer fra Kina, blevet identificeret rettet mod store multinationale selskaber verden over.

Cybersikkerhedseksperter fra Proofpoint har udgivet en rapport, der fremhæver, at både kinesiske og internationale virksomheder bliver ofre for denne lumske kampagne, potentielt orkestreret af flere trusselsaktører.

Et af de fremtrædende værktøjer, der anvendes i disse angreb, kaldes ValleyRAT. Forskerne bemærkede, at kampagnerne, der distribuerer denne malware, overvejende opererede på det kinesiske sprog, hvilket afspejlede de mønstre, der blev set i tidligere kinesiske malware-kampagner. Det er bemærkelsesværdigt, at disse kampagner ofte brugte fakturatemaer forbundet med forskellige kinesiske virksomheder. Forskerne har observeret flere tilfælde af, at denne malware er blevet distribueret.

Proofpoint opdagede ValleyRAT allerede i Marts i år

ValleyRAT dukkede først op på radaren i marts 2023, ifølge Proofpoint. Selvom det skiller sig ud som en bemærkelsesværdig variant, er det på ingen måde den eneste trussel i spil. Forskerne identificerede også Sainbox, en variant af den berygtede Gh0stRAT, samt Purple Fox. Sidstnævnte var primært fokuseret på at målrette enheder i Japan.

Forskerne fremhævede, at Purple Fox' historiske aktivitet, selvom den er i overensstemmelse med, hvad der anses for kinesisk-tema, sjældent er blevet registreret i deres trusselsdata. Det er bemærkelsesværdigt, at visse kampagner brugte japansksprogede fakturatemaer til at målrette mod organisationer i Japan, mens andre var afhængige af kinesiske meddelelser, der indeholdt URL'er.

Proofpoint har indtil videre dokumenteret over to dusin af disse kampagner. I disse tilfælde antog angriberne skikkelse af større virksomheder og nåede ud til medarbejdere via e-mail i et forsøg på at lokke dem til at downloade og udføre de førnævnte Remote Access Trojans (RAT'er).

Mens konkrete beviser vedrørende angribernes identitet forbliver uhåndgribelige, spekulerer forskerne i, at dette kan være resultatet af flere forskellige grupper, der potentielt samler ressourcer. Denne hypotese understøttes af den observation, at nogle aktivitetsklynger ser ud til at overlappe hinanden.

Lige nu er motiverne bag disse angreb stadig uklare, hvilket efterlader et svøb af mystik omkring overfaldsmændenes hensigter.