Kínai kiberszereplők Linux rendszereket céloznak SNOWLIGHT-al és VShell-el
Az UNC5174 néven ismert, Kínához köthető kiberszereplőnek tulajdonítanak egy új kampányt, amely egy ismert SNOWLIGHT nevű rosszindulatú szoftver egy változatát és egy új, VShell nevű nyílt forráskódú eszközt használ Linux rendszerek megfertőzésére. A kampányt a Sysdig Threat Research Team (TRT) azonosította. Először egy rosszindulatú bash szkriptet fedeztek fel, amely több futtatható fájl letöltéséért felelős a perzisztencia érdekében. A letöltött bináris állományok egyike a SNOWLIGHT malware egyik változata, amelyet a Mandiant korábban egy F5-eszközök elleni kampányban azonosított, és amelyet a francia National Agency for Information Systems Security (ANSSI) által 2025 márciusában kiadott kiberfenyegetettségi áttekintő jelentésben említettek.
A korábban a SUPERSHELL nyílt forráskódú reverse shell eszköz használatáról ismert UNC5174 ebben a kampányban egy újonnan kiadott nyílt forráskódú eszközt, a VShellt alkalmazza. Az underground csatornákon szerzett hírneve alapján a VShell-t még jobbnak tartják, mint a széles körben ismert Cobalt Strike keretrendszert. A kiberszereplők egyre inkább nyílt forráskódú eszközöket használnak arzenáljukban a költséghatékonyság és az obfuszkálás érdekében, hogy pénzt takarítsanak meg és elvegyüljenek a nem állami támogatású és gyakran kevésbé technikai ellenfelek (pl. script kiddies) között, ezáltal még nehezebbé téve az attribúciót.
A SNOWLIGHT kártevő a fileless, kizárólag a memóriában tárolt VShell nevű payload dropperjeként működik. A fieless payload-ok ezen a speciális terjesztési módszeren keresztül történő használatát eddig csak az UNC5174-nek tulajdonították. A kiberszereplő szinte minden eszköze egyedi, és ezért mások számára nehezen másolható. A Sysdig által elemzett technikák kifinomultsága is összhangban van a magas technikai képességeikkel. A Sysdig az elemzések és a kiberszereplővel kapcsolatos tapasztalatai alapján úgy véli, hogy az UNC5174 motivációja a kémkedés és/vagy az áldozatok környezetéhez való hozzáférés értékesítése és közvetítése.
Az UNC5174 feltehetően a kínai kormány megbízásából tevékenykedik. A HivePro és a Mandiant szerint az UNC5174 célpontjai nyugati országok, például az Egyesült Államok, Kanada és az Egyesült Királyság. Ezekben az országokban az áldozatok gyakran kutatóintézetek, kormányzati szervezetek, agytrösztök és technológiai vállalatok. Az UNC5174 az ázsiai-csendes-óceáni térségben különböző nem kormányzati szervezeteket (NGO-k) is célba vesz, és egyes esetekben az energia, a védelem és az egészségügy kritikus infrastruktúra ágazataiban működő vállalkozásokat is célba vett.
A Sysdig megosztotta az azonosított IOC-kat.
