Camaro Dragon: TinyNote back door
Check Point Research kutatói Délkelet- és Kelet-Ázsiához kötődő európai külügyi szervezeteket célzó tevékenységet észletek. A Camaro Dragon-hoz kötött, kínai érdekekhez igazodó kémtevékenység átfedésben van az államilag támogatott kínai Mustang Panda APT által korábban azonosított tevékenységekkel.
A csoport támadási eszközkészletének és az alapul szolgáló infrastruktúrának egy részét az ESET-kutatói részletes technikai dokumentumukban ismertették. A Check Point Research elemezte a TP-Link routerek firmware-t kihasználó, Horse Shell nevű egyedi implantátumot, amely lehetővé teszi a fenyegetettség szereplői számára, hogy fenntartsák a folyamatos hozzáférést és névtelen infrastruktúrát építsenek ki kompromittált routerek segítségével.
Ebben a jelentésben egy másik, korábban fel nem tárt hátsó ajtót elemeznek a Check Point kutatói, amely ehhez a tevékenységcsoporthoz kapcsolódik, és amely nemcsak közös infrastruktúrát, hanem ugyanazt a magas szintű információgyűjtési célt is megosztja vele.
Az egyik Camaro Dragon elosztószerveren egy korábban ismeretlen Go-alapú hátsó ajtót találtak TinyNote néven, amit aktívan használnak. A rosszindulatú programok mintái más ismert, Camaro Dragonnak tulajdonított C&C szerverekkel is kommunikálnak. A TinyNote hátsó ajtót külügyi ügyekkel kapcsolatos tartalommal terjesztik, és valószínűleg a délkelet- és kelet-ázsiai nagykövetségeket vesz célba.
