Laut einem Bericht des IT-Sicherheitsunternehmens ESET setzt eine bislang unbekannte chinesische APT-Gruppe ein hochentwickeltes Malware-Toolkit ein und hat damit bereits Cyberspionageangriffe auf Privatpersonen und Unternehmen in China, Japan und Großbritannien durchgeführt.
Das Toolkit mit der Bezeichnung NSPX30 wird mittels eines Adversary-in-the-Middle-Angriffs über Updates legitimer Software an die Opfer ausgeliefert. Das Tool, mit dem die Angreifer ihre Ziele zunächst kompromittieren, ist noch nicht bekannt. ESET geht jedoch davon aus, dass die Gruppe auf bekannte Vorgehensweisen chinesischer APTs zurückgegriffen haben könnte, wie beispielsweise die Kompromittierung von nicht gepatchten Netzwerkgeräten wie Routern oder Gateways.
NSPX30 enthält mehrere Komponenten, wie einen bösartigen Dropper, Installer und Loader sowie eine Backdoor, mit deren Hilfe unter anderem Plugins für weitere Spionageaktivitäten auf Opfersystemen implementiert werden können. Darüber hinaus konnte bei der Analyse festgestellt werden, dass das Programm auch in der Lage ist, chinesische Anti-Malware-Lösungen zu umgehen.
Im Bericht beschreibt ESET die Vorgehensweise der APT-Gruppe mit Hilfe des MITRE ATT&CK Frameworks und stellt Indicators of Compromise zur Verfügung. Wir empfehlen daher, Systeme anhand der bereitgestellten technischen Indikatoren zu überprüfen und verdächtige Aktivitäten den Sicherheitsbehörden zu melden.