Een onlangs opgedoken aangepaste backdoor genaamd Stealth Soldier is ingezet als onderdeel van een serie zeer gerichte spionage-aanvallen in Noord-Afrika.

Volgens een technisch rapport van cyberbeveiligingsbedrijf Check Point is de Stealth Soldier-malware een ongedocumenteerde backdoor die voornamelijk is ontworpen voor surveillance. De functionaliteiten omvatten het exfiltreren van bestanden, het opnemen van schermen en microfooninvoer, het vastleggen van toetsaanslagen en het stelen van browserinformatie.

De lopende operatie maakt gebruik van command-and-control (C&C) servers die websites nabootsen die in verband staan met het Libische ministerie van Buitenlandse Zaken. De vroegste sporen van deze campagne gaan terug tot oktober 2022.

De aanvallen beginnen met potentiële doelwitten die valse downloader-binaire bestanden downloaden, geleverd via social engineering-aanvallen, en fungeren als kanaal voor het verkrijgen van de achterdeur van Stealth Soldier. Tegelijkertijd wordt een leeg PDF-bestand weergegeven om de slachtoffers te misleiden.

Lees ook: “Cisco en VMware brengen kritieke beveiligingsupdates uit”.

Het aangepaste modulaire implantaat, waarvan wordt aangenomen dat het slechts spaarzaam wordt gebruikt, maakt bewakingsmogelijkheden mogelijk door directory listings en browsergegevens te verzamelen, toetsaanslagen en microfoongeluid op te nemen, schermafbeeldingen vast te leggen, bestanden te uploaden en PowerShell-commando’s uit te voeren. Check Point verklaarde: “De malware gebruikt verschillende soorten commando’s, waarvan sommige plugins zijn die zijn gedownload van de C&C-server, terwijl andere modules zijn binnen de malware zelf.” Het bestaan van drie versies van Stealth Soldier geeft aan dat de operators het actief onderhouden.

Hoewel sommige onderdelen niet langer toegankelijk zijn, wordt gemeld dat de plugins voor het vastleggen van het scherm en het stelen van de browsergegevens zijn beïnvloed door open-source projecten die beschikbaar zijn op GitHub. Bovendien overlapt de infrastructuur die door Stealth Soldier werd gebruikt met de infrastructuur van een eerdere phishingcampagne genaamd Eye on the Nile, die in 2019 gericht was op Egyptische journalisten en mensenrechtenactivisten.

Deze ontwikkeling geeft aan dat de dreigingsactor mogelijk opnieuw verschijnt na de eerder genoemde campagne, wat suggereert dat de groep zich richt op surveillanceactiviteiten gericht op Egyptische en Libische entiteiten.

Gezien de modulaire aard van de malware en het gebruik van meerdere infectiestadia, zullen de aanvallers hun tactieken en technieken blijven ontwikkelen en in de nabije toekomst nieuwe versies van de malware inzetten, zoals Check Point aangeeft.