I ricercatori di Symantec hanno scoperto che hacker associati al governo cinese hanno condotto una campagna per la distribuzione di malware tramite il popolare software VLC Media Player. Come riportato dai colleghi di Bleeping Computer, sembra che gli obiettivi fossero varie entità governative, legali e religiose, nonché le OGN, di almeno tre continenti.

Stando alle ricostruzioni, il gruppo responsabile è Cicada (conosciuto anche come Potassium, Red Apollo, APT10, Stone Panda e menuPass), attivo dal 2006, il quale avrebbe violato alcune reti attraverso un server Microsoft Exchange, probabilmente sfruttando vulnerabilità note su macchine senza patch, per poi distribuire un loader personalizzato grazie a VLC.

Brigid O Gorman del Symantec Threat Hunter Team, intervistata da Bleeping Computer, ha affermato che gli hacker hanno utilizzato una versione regolare di VLC, ma con un DLL malevolo. La tecnica, nota come DLL side-loading, viene utilizzata dai malintenzionati per non farsi rilevare facilmente. Oltre a impiegare il player multimediale, Cicada ha inoltre distribuito un server WinVNC per controllare da remoto i sistemi compliti, nonché la backdoor Sodamaster caricata direttamente in memoria (quindi priva di un file di riferimento) per eludere il rilevamento cercando indizi nel registro di sistema di un ambiente sandbox o ritardare la sua esecuzione.

Stando ai dati raccolti dai ricercatori di Symantec, l’inizio dell’attuale campagna è stimato circa a metà del 2021 e potrebbe continuare anche oggi. Tra le vittime si contano organizzazioni con sede negli Stati Uniti, Canada, Hong Kong, Turchia, Israele, India, Montenegro, Giappone e Italia. Almeno due membri del gruppo sono stati accusati negli Stati Uniti di crimini informatici volti ad aiutare il Tianjin State Security Bureau del Ministero della sicurezza di stato cinese a ottenere proprietà intellettuali e informazioni commerciali riservate.