HUI Loader

Una amenaza de malware que se ha utilizado en campañas de ataque durante años, ahora se ha conectado a las actividades de los grupos APT (Amenaza de Persistencia Avanzada) respaldados por China. El malware conocido como HUI Loader se identificó por primera vez en 2015, pero los vínculos con varios grupos de piratas informáticos patrocinados por el estado se confirmaron recientemente. Los detalles sobre la amenaza y los actores de amenazas que la utilizan como parte de su conjunto de herramientas amenazantes se revelaron en un informe de la Unidad de Contraamenazas (CTU) de Secureworks.

El cargador HUI se implementa en las etapas iniciales de la infección y tiene la tarea de entregar y ejecutar las cargas útiles de la siguiente etapa. Es probable que la amenaza llegue a los sistemas de destino a través de programas legítimos que fueron sometidos a una técnica conocida como secuestro de orden de búsqueda de DLL'. Una vez establecido y ejecutándose en la memoria, se ha observado que HUI Loader carga varios RAT (troyanos de acceso remoto), incluidos SodaMaster, Cobalt Strike , PlugX y QuasarRAT.

Los investigadores de CTU detectaron que HUI Loader formaba parte de campañas de ataque contra entidades japonesas, pero suponen que las organizaciones europeas y estadounidenses también podrían ser el objetivo. Uno de los grupos de actividades se atribuye al A41APT. Los atacantes probablemente estaban interesados en recopilar propiedad intelectual y confiaron en HUI Loader para la entrega de SodaMaster RAT. Se cree que la otra campaña observada por los expertos en ciberseguridad es BRONZE STARLIGHT. En este caso, los piratas informáticos también arrojaron amenazas de ransomware en los dispositivos violados, probablemente como una forma de ocultar su verdadero objetivo de recopilar datos confidenciales de las víctimas.