Có tới 85 máy chủ điều khiển và kiểm soát (C2) được phát hiện bởi phần mềm độc hại ShadowPad kể từ tháng 9 năm 2021, với cơ sở hạ tầng được phát hiện gần đây nhất là ngày 16 tháng 10 năm 2022.
Đó là theo Đơn vị phân tích mối đe dọa (TAU) của VMware, đơn vị đã nghiên cứu ba biến thể ShadowPad sử dụng giao thức TCP, UDP và HTTP (S) cho truyền thông C2.
ShadowPad, được coi là sự kế thừa của PlugX, là một nền tảng phần mềm độc hại mô-đun được chia sẻ riêng giữa nhiều tác nhân do nhà nước Trung Quốc tài trợ kể từ năm 2015.
Công ty an ninh mạng Đài Loan TeamT5, hồi đầu tháng 5, đã tiết lộ chi tiết về một mô-đun cấy ghép mô-đun Trung Quốc-nexus khác có tên Pangolin8RAT, được cho là kế thừa của họ phần mềm độc hại PlugX và ShadowPad, liên kết nó với một nhóm mối đe dọa có tên là Tianwu.
Một phân tích về ba hiện vật ShadowPad, trước đây đã được Winnti, Tonto Team, và một cụm mối đe dọa mới nổi có tên là Space Pirates, giúp bạn có thể phát hiện ra các máy chủ C2 bằng cách quét danh sách các máy chủ đang mở được tạo bởi một công cụ có tên ZMap, VMware cho biết.
Công ty tiết lộ thêm rằng họ đã xác định được các mẫu phần mềm độc hại Spyder và ReverseWindow giao tiếp với địa chỉ IP ShadowPad C2, cả hai đều là các công cụ độc hại được sử dụng bởi APT41 (hay còn gọi là Winnti) và LuoYu.
Ngoài ra, các chồng chéo đã được quan sát thấy giữa mẫu Spyder nói trên và thành phần Worker của trojan Winnti 4.0 của tác nhân đe dọa.
Takahiro Haruyama, nhà nghiên cứu cấp cao về mối đe dọa tại VMware TAU, cho biết: “Quét phần mềm độc hại APT C2 trên Internet đôi khi giống như mò kim đáy bể. “Tuy nhiên, một khi chức năng quét C2 hoạt động, nó có thể trở thành một công cụ thay đổi cuộc chơi như một trong những cách tiếp cận phát hiện mối đe dọa chủ động nhất.”