UNC5174 implementeert SNOWLIGHT-malware bij aanvallen op Linux en macOS

Een dreigingsgroep waarvan wordt aangenomen dat ze banden heeft met de door de Chinese staat gesponsorde cyberoperaties, geïdentificeerd als UNC5174, heeft een sluwe en technisch geavanceerde cybercampagne gelanceerd die gericht is op Linux en MacOS omgevingen.

Volgens nieuw onderzoek uitgegeven door Sysdig, de groep maakt gebruik van een herziene versie van de SNOWLIGHT-malware in combinatie met een open-source tool voor externe toegang genaamd VShell.

Open-sourcewapens in moderne spionage

Veiligheidsanalisten bij Sysdig merkten op dat UNC5174 strategisch gebruikmaakt van open-sourcehulpprogramma's om zijn activiteiten te verbergen en de operationele overhead te verminderen. Door het gedrag van onafhankelijke hackers of cybercriminelen van een lager niveau na te bootsen, de groep vergroot de moeilijkheid om directe toeschrijving toe te kennen.

Deze aanpak stelt hen in staat om binnen een breder kader te opereren, lawaaieriger ecosysteem, waardoor ze moeilijker te identificeren en te volgen zijn. Het rapport wijst er ook op dat UNC5174 al meer dan een jaar niet meer publiekelijk actief was geweest voordat deze campagne weer opdook..

Aanvalsstroom en malware-implementatie

De campagne begint met de uitvoering van een script dat bekend staat als download_backd.sh. Dit script installeert twee belangrijke componenten: één is geassocieerd met een aangepaste SNOWLIGHT-variant (dnsloger), en de andere heeft betrekking op de Sliver post-exploitatie toolkit (systeem_werker). Deze elementen vormen de basis voor permanente toegang en communicatie met een externe server.

SNOWLIGHT initieert vervolgens de levering van VShell, een geheugen-residente trojan, door het op te vragen bij de infrastructuur van de aanvaller. De payload wordt nooit naar schijf geschreven, waardoor het veel traditionele detectiemechanismen kan omzeilen. Eenmaal actief, VShell geeft aanvallers de mogelijkheid om systeemopdrachten uit te voeren, bestanden overbrengen, en behoud van toegang op de lange termijn via geheime communicatiekanalen zoals WebSockets.

Cross-platform bedreiging: macOS ook doelwit

Hoewel de operatie primair gericht is op Linux-omgevingen, Uit bewijsmateriaal blijkt dat de malware-suite ook in staat macOS-systemen in gevaar te brengen. Met andere woorden, dit lijkt een platformonafhankelijke malware operatie.

Een voorbeeld hiervan is een versie van VShell die zich voordeed als een authenticatietoepassing van Cloudflare.. Deze kwaadaardige build werd eind 2017 vanuit China naar VirusTotal geüpload 2024, waarin de bredere targetingstrategie en social engineering-componenten van de campagne worden aangegeven.

UNC5174, in sommige rapporten ook wel Uteus of Uetus genoemd, heeft een geschiedenis van het exploiteren van veelgebruikte softwarekwetsbaarheden. Eerdere campagnes gedocumenteerd door Mandiant, een cybersecuritybedrijf van Google, betrokken bij het aanpakken van fouten in Connectwise ScreenConnect en F5 BIG-IP. Bij deze operaties werd ook gebruik gemaakt van SNOWLIGHT om aanvullende malware op te halen, zoals GOHEAVY, een Golang-gebaseerde tunnelingtool, en GOREVERSE, een op SSH gebaseerd reverse shell-hulpprogramma.

Het Franse nationale cybersecurityagentschap ANSSI heeft een soortgelijk patroon ontdekt in niet-gerelateerde aanvallen die misbruik maken van kwetsbaarheden in de Cloud Service Appliance van Ivanti. Kwetsbaarheden zoals CVE-2024-8963, CVE-2024-9380, en CVE-2024-8190 werden naar verluidt gebruikt in combinatie met inbraaktactieken die vergelijkbaar zijn met die welke zijn gezien bij UNC5174-operaties. ANSSI merkte ook op dat er veelvuldig gebruik wordt gemaakt van publiekelijk beschikbare hackingtools, inclusief rootkits, als een belangrijk kenmerk van deze campagnes.

Meer activiteiten van Chinese hackers in het wild ontdekt

TeamT5, een in Taiwan gevestigd cybersecurity-onderzoeksbedrijf, onafhankelijk bekendgemaakte activiteit die lijkt op de methoden van UNC5174. Volgens hun bevindingen, aanvallers misbruikte Ivanti-kwetsbaarheden om een nieuwe vorm van malware te verspreiden, genaamd SPAWNCHIMERA. Deze incidenten hadden betrekking op doelen in bijna 20 landen, inclusief de VS, VK, Japan, Singapore, en Nederland, waarbij de brede internationale voetafdruk van deze cyberoperaties wordt benadrukt.

Deze campagne vindt plaats terwijl de spanning tussen China en de Verenigde Staten blijft toenemen. In februari 2025, De Chinese autoriteiten beschuldigden de VS. National Security Agency (NSA) van het uitvoeren van massale cyberinbraken tijdens de Aziatische Winterspelen. Volgens het Chinese Nationale Centrum voor Noodhulp bij Computervirussen (CVERC), over 170,000 aanvallen werden toegeschreven aan de VS. gedurende een periode van 20 dagen, met aanvullende invallen die kunnen worden herleid tot andere landen, waaronder Duitsland, Zuid-Korea, en Singapore.

Chinese functionarissen uitten hun sterke veroordeling, beweren dat de aanslagen belangrijke infrastructuursectoren zoals de financiële sector in gevaar brachten, verdediging, en openbare communicatie. Het ministerie van Buitenlandse Zaken waarschuwde dat de inbraken ook het risico met zich meebrachten dat de persoonlijke gegevens van Chinese burgers en de integriteit van nationale systemen in gevaar kwamen..

Conclusive Gedachten

Onderzoekers van Sysdig benadrukken dat deze zaak onderstreept hoe geavanceerde dreigingsactoren steeds vaker open-sourcetools misbruiken om hun affiliaties te maskeren.. Hulpmiddelen zoals VShell en SNOWLIGHT zijn gratis beschikbaar en worden veel gebruikt, waardoor aanvallers geavanceerde campagnes kunnen uitvoeren onder het mom van gewone cybercriminele activiteiten. Het resultaat is een zeer ontwijkende dreiging die stealth combineert, flexibiliteit, en plausibele ontkenning.