กลุ่มแฮกเกอร์ Tropic Trooper (APT23) เปิดปฏิบัติการใหม่ targeting ชาวจีนที่ใช้ภาษาจีน โดยใช้ SumatraPDF ที่ถูก trojanized เพื่อส่ง AdaptixC2 Beacon ซึ่งเป็นเครื่องมือ post-exploitation และใช้ GitHub เป็น C2 platform นอกจากนี้ยังใช้ VS Code tunnels เพื่อเข้าถึงระยะไกล

การโจมตีเริ่มจากไฟล์ ZIP ที่มีเอกสารล่อเกี่ยวกับการทหาร เมื่อเปิดไฟล์ SumatraPDF ปลอมจะแสดงเอกสารปลอมและดึง shellcode จากเซิร์ฟเวอร์ staging เพื่อรัน AdaptixC2 Beacon กลุ่มนี้ยังใช้ loader TOSHIS ซึ่งเป็น variant ของ Xiangoop เพื่อโหลด payloads หลายขั้นตอน และจะ deploy VS Code tunnels เฉพาะเมื่อเหยื่อมีคุณค่าสูง

ที่มา: The Hacker News

คำศัพท์เทคนิคที่น่าสนใจ

• Tropic Trooper – กลุ่มแฮกเกอร์ที่ถูกกล่าวหาว่ามีความเชื่อมโยงกับจีน รู้จักในชื่อ APT23, Earth Centaur, KeyBoy
• SumatraPDF – โปรแกรมอ่าน PDF แบบโอเพนซอร์สที่ถูกนำมาดัดแปลงเป็นเวอร์ชัน trojanized
• AdaptixC2 Beacon – เครื่องมือ post-exploitation ที่ใช้สำหรับควบคุมระบบที่ถูกโจมตี
• GitHub – แพลตฟอร์มที่ใช้เป็น C2 (Command and Control) เพื่อส่งคำสั่งไปยังเครื่องที่ถูกบุกรุก
• VS Code tunnels – ฟีเจอร์ของ Visual Studio Code ที่ให้เข้าถึงเครื่องระยะไกลผ่าน tunnel
• TOSHIS loader – มัลแวร์ที่ใช้โหลด payloads ขั้นต่อไป เป็น variant ของ Xiangoop
• Cobalt Strike Beacon – เครื่องมือ post-exploitation ที่นิยมใช้ในการโจมตีทางไซเบอร์