Az Earth Lusca KTLVdoor-t használ
Az Earth Lusca megfigyelése során a Trend Micro felfedezte, hogy a fenyegető csoport egy nagyszabású támadási kampány részeként a Golang nyelven írt KTLVdoor-t, egy erősen obfuszkált multiplatform backdoor-t használ. Ez a korábban nem bejelentett kártevő sokkal összetettebb, mint a kiberszereplő által használt szokásos eszközök. Erősen obfuszkált, és különböző rendszerszintű segédprogramok neveit vagy hasonló eszközöket, például sshd, java, sqlite, bash, edr-agent és más eszközöket megszemélyesítve terjed. A backdoor általában dinamikus könyvtárként (DLL, SO) kerül terjesztésre. A rosszindulatú programok funkciói lehetővé teszik a támadók számára a környezet teljes irányítását: parancsok futtatása, fájlok manipulálása, rendszer- és hálózati információk szolgáltatása, proxyk használata, fájlok letöltése/feltöltése, távoli portok vizsgálata és így tovább.
A támadási kampány nagyságrendje meglepő, mivel több mint 50 C&C szervert azonosított a Trend Micro, amelyek mindegyike a kínai Alibabánál található, és a malware-család variánsaival kommunikál. Bár e kártevőminták némelyike nagy valószínűséggel az Earth Lusca-hoz köthető, nem biztos, hogy az egész infrastruktúrát kizárólag ez a kiberszereplő használja. Egyelőre csak egy célpontot azonosítottak, egy kínai székhelyű kereskedelmi vállalatot. Nem ez az első alkalom, hogy egy kínai nyelvű kiberszereplő kínai vállalatot vesz célba; olyan csoportok, mint az Iron Tiger és a Void Arachne szintén használtak olyan eszközöket, amelyek kifejezetten a kínai nyelvet beszélőkre irányultak.
