Tropic Trooper telah terlihat menggunakan malware yang sebelumnya tidak terdokumentasi yang dikodekan dalam bahasa Nim untuk menyerang target sebagai bagian dari kampanye yang baru ditemukan.
Muatan baru, dijuluki Nimbda, “dibundel dengan alat ‘SMS Bomber’ greyware berbahasa China yang kemungkinan besar didistribusikan secara ilegal di web berbahasa China,” kata perusahaan keamanan siber Israel Check Point dalam sebuah laporan.
SMS Bomber, seperti namanya, memungkinkan pengguna untuk memasukkan nomor telepon (bukan milik mereka sendiri) untuk membanjiri perangkat korban dengan pesan dan berpotensi membuatnya tidak dapat digunakan dalam serangan denial-of-service (DoS).
Fakta bahwa biner berfungsi ganda sebagai Pengebom SMS dan pintu belakang menunjukkan bahwa serangan tidak hanya ditujukan pada mereka yang merupakan pengguna alat, tetapi juga sangat ditargetkan di alam liar.
Tropic Trooper, juga dikenal dengan sebutan Earth Centaur, KeyBoy, dan Pirate Panda, memiliki rekam jejak menyerang target yang berlokasi di Taiwan, Hong Kong, dan Filipina, terutama berfokus pada pemerintah, perawatan kesehatan, transportasi, dan industri teknologi tinggi.
Trend Micro tahun lalu menunjukkan kemampuan grup untuk mengembangkan TTP agar tetap berada di bawah radar dan mengandalkan berbagai alat khusus untuk mengkompromikan targetnya.
Biner yang diambil adalah versi upgrade dari trojan bernama Yahoyah yang dirancang untuk mengumpulkan informasi tentang jaringan nirkabel lokal di sekitar mesin korban serta metadata sistem lainnya dan mengekstrak detailnya kembali ke server command-and-control (C2).
Yahoyah juga bertindak sebagai saluran untuk mengambil malware tahap akhir, yang diunduh dalam bentuk gambar dari server C2. Payload yang dikodekan secara steganografi adalah pintu belakang yang dikenal sebagai TClient dan telah digunakan oleh grup dalam kampanye sebelumnya
“Biasanya, ketika alat pihak ketiga jinak (atau tampak jinak) dipilih sendiri untuk dimasukkan ke dalam rantai infeksi, mereka dipilih untuk menjadi yang paling tidak mencolok; pilihan alat ‘SMS Bomber’ untuk tujuan ini adalah meresahkan, dan menceritakan keseluruhan cerita saat seseorang berani memperkirakan motif dan korban yang dituju.”
Sumber: The Hacker News
