Các nhà nghiên cứu của Lumen cho biết, HiatusRAT từng được biết đến để triển khai trong các cuộc tấn công nhằm xâm phạm các bộ định tuyến băng thông cao, điển hình như DrayTek Vigor VPN (thường được các doanh nghiệp vừa và nhỏ sử dụng để kết nối từ xa với mạng công ty), cho phép kẻ tấn công chạy lệnh, đánh cắp dữ liệu và thiết lập mạng proxy bí mật.

Hoạt động ít nhất kể từ tháng 6/2022, mã độc này đã tấn công vào các tổ chức ở châu Âu và khu vực châu Mỹ Latinh, với ít nhất 100 nạn nhân được xác định tính đến tháng 3/2023.

Sau báo cáo ban đầu về HiatusRAT, các tin tặc đã thay đổi chiến thuật và trong các cuộc tấn công được các nhà nghiên cứu của Lumen quan sát từ tháng 6 đến tháng 8/2023, các tin tặc đã chuyển trọng tâm sang thực hiện do thám và trinh sát hệ thống mua sắm quân sự của quân đội Mỹ và nhắm mục tiêu vào các tổ chức có trụ sở tại Đài Loan.

Các mẫu HiatusRAT đã được biên dịch lại các tệp nhị phân độc hại để phục vụ cho nhiều kiến ​​trúc khác nhau, từ Arm, Intel 80386 và x86-64 đến MIPS, MIPS64 và i386, lưu trữ chúng trên các máy chủ riêng ảo (VPS) mới được mua.

Một trong những VPS này hầu như được sử dụng trong các cuộc tấn công nhắm vào các thực thể tại Đài Loan, bao gồm các tổ chức chính quyền thành phố và công ty thương mại khác nhau, trong đó có các nhà sản xuất chất bán dẫn và hóa chất. Điều đặc biệt, Lumen cũng xác định rằng có một node VPS khác đã được sử dụng trong hoạt động truyền dữ liệu với máy chủ quân sự của quân đội Mỹ được chỉ định để đề xuất và gửi hợp đồng.

Mối liên kết của trang web với các đề xuất hợp đồng cho thấy các tin tặc có thể đang tìm kiếm thông tin có thể truy cập công khai về các thiết bị quân sự hoặc cố gắng tìm thông tin liên quan đến các tổ chức trực thuộc Khu vực Cơ sở Công nghiệp Quốc phòng Mỹ (DIB). “Chúng tôi nghi ngờ các tin tặc đang tìm kiếm các tài nguyên có sẵn công khai liên quan đến các hợp đồng quân sự hiện tại và tương lai”, Phòng thí nghiệm Black Lotus của Lumen cho biết.

Chiến dịch HiatusRAT mới (nguồn: Lumen Black Lotus Labs)

Các mẫu mã độc mới được phát hiện đã sử dụng cùng một máy chủ tải lên để liên lạc như các tệp nhị phân trước đó. Bắt đầu từ tháng 8/2023, các tin tặc đã lưu trữ payload trên máy chủ VPS đã được xác định trước đó. Phân tích giao tiếp với máy chủ của HiatusRAT cho thấy hơn 91% kết nối gửi đến đến từ Đài Loan, chủ yếu từ các thiết bị biên do công ty thiết bị mạng Ruckus sản xuất.

Chiến dịch này diễn ra sau một loạt các cuộc tấn công đã xảy ra trước đó, trong đó hơn 100 doanh nghiệp, chủ yếu từ châu Âu, Bắc Mỹ và Nam Mỹ, đã bị nhiễm HiatusRAT để tạo ra một mạng proxy bí mật.

Mã độc này chủ yếu được sử dụng để cài đặt các payload bổ sung trên các thiết bị bị nhiễm và chuyển đổi các hệ thống bị xâm nhập thành proxy SOCKS5 để liên lạc với máy chủ ra lệnh và kiểm soát (C2). Mặc dù đã tiết lộ trước về các công cụ và khả năng, nhưng các tin tặc đã thực hiện những bước nhỏ nhất để hoán đổi các máy chủ payload hiện có và tiếp tục hoạt động mà thậm chí không cấu hình lại cơ sở hạ tầng C2 của chúng.

Lumen nhấn mạnh, sự thay đổi này trong việc thu thập thông tin và ưu tiên nhắm mục tiêu phù hợp với lợi ích chiến lược của Trung Quốc. Các tổ chức của Mỹ thời gian gần đây cũng đã trở thành mục tiêu trong các cuộc tấn công có liên quan đến các nhóm tin tặc được Chính phủ Trung Quốc hậu thuẫn khác, bao gồm cả Volt Typhoon và Storm-0558.

“Chúng tôi nghi ngờ HiatusRAT đóng vai trò là một ví dụ về chiến thuật mới có thể được áp dụng để chống lại DIB mà không bị trừng phạt. Chúng tôi khuyến nghị các nhà thầu quốc phòng nên thận trọng và giám sát các thiết bị mạng của họ để biết sự hiện diện của HiatusRAT”, Lumen kết luận.