Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một nhóm đe dọa không có giấy tờ trước đây có tên Unfading Sea Haze được cho là đã hoạt động từ năm 2018.
Sự xâm nhập đã chỉ ra các tổ chức cấp cao ở các nước Biển Đông, đặc biệt là các mục tiêu quân sự và chính phủ, Bitdefender cho biết trong một báo cáo được chia sẻ với The Hacker VN.
Có một số dấu hiệu cho thấy tác nhân đe dọa đằng sau các cuộc tấn công đang hoạt động với các mục tiêu phù hợp với lợi ích của Trung Quốc mặc dù thực tế là các chữ ký tấn công không trùng lặp với các chữ ký của bất kỳ nhóm hack nào được biết đến.
Điều này bao gồm dấu chân nạn nhân, với các quốc gia như Philippines và các tổ chức khác ở Nam Thái Bình Dương trước đây là mục tiêu của diễn viên Mustang Panda có liên hệ với Trung Quốc.
Cũng được sử dụng trong các cuộc tấn công là các lần lặp lại khác nhau của phần mềm độc hại Gh0st RAT, một trojan hàng hóa được biết là được sử dụng bởi các tác nhân đe dọa nói tiếng Trung Quốc.
Con đường truy cập ban đầu chính xác được sử dụng để xâm nhập vào các mục tiêu hiện đã được biết đến, mặc dù, trong một bước ngoặt thú vị, Unfading Sea Haze đã được quan sát thấy lấy lại quyền truy cập vào các thực thể tương tự thông qua các email lừa đảo có chứa tài liệu lưu trữ bị mắc kẹt.
Các tệp lưu trữ này được trang bị các tệp lối tắt Windows (LNK), khi được khởi chạy, sẽ kích hoạt quá trình lây nhiễm bằng cách thực hiện lệnh được thiết kế để truy xuất tải trọng giai đoạn tiếp theo từ máy chủ từ xa. Tải trọng này là một backdoor có tên SerialPktdoor được thiết kế để chạy các tập lệnh PowerShell, liệt kê các đạo diễn, tải xuống / tải lên tệp và xóa tệp.
Hơn nữa, lệnh tận dụng Microsoft Build Engine (MSBuild) để thực thi không cần tệp nằm ở một vị trí từ xa, do đó không để lại dấu vết trên máy chủ nạn nhân và giảm cơ hội phát hiện.
Các chuỗi tấn công được đặc trưng bởi việc sử dụng các tác vụ theo lịch trình như một cách để thiết lập sự bền bỉ, với các tên tác vụ mạo danh các tệp Windows hợp pháp được sử dụng để chạy tệp thực thi vô hại dễ bị DLL side-loading để tải DLL độc hại.
Ít nhất là kể từ tháng 9/2022, Unfading Sea Haze được biết là kết hợp các công cụ Giám sát và Quản lý từ xa (RMM) có sẵn trên thị trường như ITarian RMM để có được chỗ đứng trên mạng nạn nhân, một chiến thuật không thường thấy ở các tác nhân quốc gia ngăn chặn nhóm MuddyWater của Iran.
Bitdefender cho biết họ đã phát hiện thêm hai hương vị của SharpJSHandler có khả năng truy xuất và chạy tải trọng từ các dịch vụ lưu trữ đám mây như Dropbox và Microsoft OneDrive và xuất kết quả trở lại cùng một vị trí.
Ps2dllLoader cũng chứa một backdoor khác có tên mã là Stubbedoor chịu trách nhiệm khởi chạy một cụm .NET được mã hóa nhận được từ máy chủ lệnh và kiểm soát (C2).
Các hiện vật khác được triển khai trong quá trình tấn công bao gồm keylogger có tên xkeylog, trình duyệt web đánh cắp dữ liệu, công cụ giám sát sự hiện diện của các thiết bị di động và chương trình lọc dữ liệu tùy chỉnh có tên DustyExfilTool được đưa vào sử dụng từ tháng 3/2018 đến tháng 1/2022.