Được liên kết với Quân Giải phóng Nhân dân Trung Quốc (PLA) hơn nửa thập kỷ trước, nhóm tin tặc Naikon được phát hiện vào năm 2020 đã thực hiện một chiến dịch bí mật kéo dài 5 năm chống lại các mục tiêu ở Australia, Indonesia, Philippines, Việt Nam, Thái Lan, Myanmar và Brunei. Nhóm này nhắm mục tiêu tập trung vào các tổ chức chính phủ và quân đội.

Cho đến nay các báo cáo về hoạt động của Naikon chỉ được công bố vào năm 2015 và 2020. Tuy nhiên, các cuộc tấn công có chủ đích đã hoạt động âm thầm trong ít nhất một thập kỷ, thực hiện các thay đổi về cơ sở hạ tầng và bộ công cụ để tránh bị phát hiện.

Năm 2020, sau khi hoạt động bị lộ, Naikon đã thực hiện một động thái tương tự: chuyển sang sử dụng một cửa hậu mới, nhưng tiếp tục sử dụng phần mềm độc hại đã biết trước đó cho các giai đoạn tấn công đầu tiên. Nhóm cũng đã lợi dụng phần mềm hợp pháp cho các mục đích bất chính.

Bitdefender cho biết chiến dịch mới nhất được tiến hành từ tháng 6/2019 đến tháng 3/2021, sử dụng một trong những cửa hậu mới có tên RainyDay. Hoạt động này được phát hiện lần đầu tiên trong các cuộc tấn công vào tháng 9/2020. Để không bị phát hiện, nhóm tin tặc bắt chước phần mềm hợp pháp đang chạy trên các máy bị nhiễm mã độc. Mục đích của các cuộc tấn công vẫn là hoạt động gián điệp và đánh cắp dữ liệu và tiếp tục tập trung vào các mục tiêu Đông Nam Á.

Cửa hậu RainyDay cho phép những kẻ tấn công thực hiện do thám trên các máy tính bị nhiễm, triển khai proxy, cài đặt máy quét, thực thi các công cụ để kết xuất mật khẩu và di chuyển theo chiều ngang trong mạng của nạn nhân.

Bitdefender giải thích: Naikon luôn sử dụng tính năng tải bên DLL cho quá trình thực thi RainyDay và luôn có một tệp thực thi dễ bị tấn công cùng với tệp DLL và tệp rdmin.src chứa cổng hậu được mã hóa.

Kỹ thuật thực thi tương tự cùng với việc sử dụng rdmin.src được nhóm tin tặc Cycldek liên kết với Trung Quốc (Goblin Panda, Conimes) sử dụng để triển khai FoundCore RAT. Hơn nữa, mã shellcode được sử dụng để trích xuất gói tin độc hại và các đặc điểm khác cho thấy mối liên hệ chặt chẽ giữa hai họ phần mềm độc hại, có thể có sự chồng chéo trong hoạt động giữa hai nhóm.

Những điểm tương đồng này không có gì đáng ngạc nhiên, vì các nhóm tin tặc Trung Quốc được biết là đang chia sẻ cơ sở hạ tầng và công cụ và Naikon trước đây đã từng sử dụng nhằm tránh bị phát hiện.

Như một phần của các cuộc tấn công mới nhất, Naikon cũng triển khai một cửa hậu mới thứ hai có tên là Nebulae làm một biện pháp phòng ngừa.

Cố gắng mạo danh một ứng dụng hợp pháp, cửa hậu Nebulae có thể thu thập thông tin ổ đĩa, liệt kê và sửa đổi các tệp và thư mục, thực thi và chấm dứt các quy trình cũng như tải xuống và chạy các tệp từ máy chủ điều khiển (C&C).

Bitdefender lưu ý: Dữ liệu mà chúng tôi thu được cho đến nay hầu như không nói gì về vai trò của Nebulae trong hoạt động này, tuy nhiên sự hiện diện của cơ chế duy trì sự tồn tại lâu dài có thể có nghĩa là nó được sử dụng làm điểm truy cập dự phòng trong trường hợp có tình huống tiêu cực đối với các tác nhân. Hơn nữa, thông tin đăng nhập tài khoản quản trị domain đã được sử dụng để di chuyển ngang trong mạng, có thể là sau khi bị đánh cắp ở giai đoạn đầu của cuộc tấn công. Sự tồn tại lâu dài thường đạt được theo cách thủ công, trong khi dữ liệu quan tâm đã được chuyển sang Dropbox."