Các cơ quan chính phủ giấu tên ở Trung Đông và Malaysia là mục tiêu của một chiến dịch mạng dai dẳng được dàn dựng bởi một tác nhân đe dọa được gọi là Tropic Trooper kể từ tháng 6/2023.
"Việc nhìn thấy [Chiến thuật, Kỹ thuật và Thủ tục] của nhóm này trong các cơ quan chính phủ quan trọng ở Trung Đông, đặc biệt là những cơ quan liên quan đến nghiên cứu nhân quyền, đánh dấu một bước đi chiến lược mới cho họ", nhà nghiên cứu bảo mật Sherif Magdy của Kaspersky cho biết.
Nhà cung cấp an ninh mạng của Nga cho biết họ đã phát hiện hoạt động này vào tháng 6/2024 sau khi phát hiện ra phiên bản mới của web Chopper Trung Quốc Shell, một công cụ được nhiều tác nhân đe dọa nói tiếng Trung Quốc chia sẻ để truy cập từ xa vào các máy chủ bị xâm nhập, trên một máy chủ web công cộng lưu trữ hệ thống quản lý nội dung nguồn mở (CMS) có tên Umbraco.
Chuỗi tấn công được thiết kế để cung cấp một phần mềm cấy ghép phần mềm độc hại có tên Crowdoor, một biến thể của backdoor SparrowDoor được ESET ghi nhận vào tháng 9/2021. Những nỗ lực cuối cùng đã không thành công.
Tropic Trooper, còn được biết đến với tên APT23, Earth Centaur, KeyBoy và Pirate Panda, được biết đến với việc nhắm mục tiêu vào chính phủ, chăm sóc sức khỏe, giao thông vận tải và các ngành công nghiệp công nghệ cao ở Đài Loan, Hồng Kông và Philippines. Tập thể nói tiếng Trung Quốc đã được đánh giá là hoạt động từ năm 2011, chia sẻ mối quan hệ chặt chẽ với một nhóm xâm nhập khác được theo dõi là FamousSparrow.
Sự xâm nhập mới nhất được Kaspersky nhấn mạnh có ý nghĩa quan trọng đối với việc biên dịch web shell China Chopper dưới dạng mô-đun .NET của Umbraco CMS, với việc khai thác tiếp theo dẫn đến việc triển khai các công cụ để quét mạng, di chuyển ngang và trốn tránh phòng thủ, trước khi khởi chạy Crowdoor bằng cách sử dụng các kỹ thuật tải bên DLL.
Người ta nghi ngờ rằng các vỏ web được phân phối bằng cách khai thác các lỗ hổng bảo mật đã biết trong các ứng dụng web có thể truy cập công khai, chẳng hạn như Adobe ColdFusion (CVE-2023-26360) và Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207).
Crowdoor, được quan sát lần đầu tiên vào tháng 6/2023, cũng có chức năng như một trình tải để thả Cobalt Strike và duy trì sự tồn tại trên các máy chủ bị nhiễm, đồng thời hoạt động như một cửa hậu để thu thập thông tin nhạy cảm, khởi chạy vỏ ngược, xóa các tệp phần mềm độc hại khác và tự chấm dứt.