TinyRCT backdoor
A Unit 42 a CL-STA-1062 jelöléssel követett, kínai nyelvű csoportot ismerteti, amely legalább 2022 márciusa óta aktív, és 2025-ben több délkelet-ázsiai ország kormányzati szerveit, valamint állami tulajdonú energetikai vállalatait és kritikus infrastruktúráját támadta. A kutatók nagy bizonyossággal ugyanahhoz a szereplőhöz kötik a csoportot, amelyet korábban UAT-7237 néven írtak le a tajvani webtárhely-szolgáltatók elleni műveletek kapcsán. A támadások célja egyértelműen hírszerzési információk megszerzése volt, nem pedig rombolás vagy pénzügyi haszonszerzés. A csoport hibrid eszközkészletet használ, nyílt forráskódú programokat – például SoftEther VPN, Mimikatz és VNT – kombinál saját fejlesztésű komponensekkel, köztük az elsőként dokumentált TinyRCT hátsóajtóval. A kezdeti hozzáférést jellemzően korábban telepített webshell-ek biztosították, amelyeket később a hosszú távú hozzáférés fenntartására és további eszközök telepítésére használtak fel.
A kutatás középpontjában álló TinyRCT egy .NET alapú, kisméretű backdoor, amely RCE-t, fájlok keresését és kiszivárogtatását, képernyőképek készítését, valamint önmegsemmisítést is támogat. A Unit 42 szerint a malware kialakítása tudatosan minimalista, nem rendelkezik nagyszámú funkcióval, viszont megbízhatóan biztosítja a hosszú távú, alacsony észlelhetőségű hozzáférést a kompromittált rendszerekhez. A jelentés kiemeli, hogy a CL-STA-1062 következetesen ötvözi a könnyen elérhető nyílt forráskódú eszközöket saját fejlesztésű malware-ekkel, ami egyszerre csökkenti a fejlesztési költségeket és megnehezíti a támadások attribúcióját.
A jelentés részletes technikai elemzést, valamint IOC-kat is közzétesz.