Железный тигр прогрызает бэкдоры в кроссплатформенном китайском мессенджере

Различные версии китайского мессенджера MiMi были заражены троянами для создания нового бэкдора, получившего название rshell. Этот бэкдор может быть использован злоумышленниками для кражи данных из систем на macOS и Linux .

Аналитики SEKOIA обнаружили , что бэкдор в мессенджере для macOS 2.3.0 был активен почти четыре месяца, с 26 мая 2022 года. Найти бэкдор удалось после того, как исследователи заметили необычное соединение с MiMi при анализе C&C-инфраструктуры RAT HyperBro, связанного с группировкой APT27 (также известной как Iron Tiger).

Специалисты TrendMicro тоже обнаружили зараженные троянами версии MiMi для Linux (с rshell) и Windows (с HyperBro). Стоит заметить, что самый старый образец rshell для Linux был обнаружен в июне 2021 года, а сообщение о первой жертве поступило в середине июля 2021 года.

Работает все довольно просто: вредоносный JavaScript -код, внедренный в исходный код MiMi, сначала проверяет, запущено ли приложение на Mac, а затем развертывает rshell. После запуска бэкдор собирает и отправляет системную информацию на свой C&C-сервер, затем ждет команд от хакеров.

Вредонос может быть использован для составления списка папок и файлов, а также для чтения, загрузки и выгрузки файлов на взломанных системах.

Эксперты связали бэкдор с APT27 из-за совпадающей инфраструктуры, использующей один и тот же диапазон IP-адресов, и общей тактики. Однако, специалистам не удалось выяснить цель злоумышленников. Мессенджер MiMi не очень популярен в Китае, поэтому аналитики предполагают, что бэкдор был разработан как инструмент для слежки за узким кругом жертв.