Luckymouse nimmt Windows- und Linux-Systeme über die Mimi-Chat-App ins Visier

Laut einem von Trend Micro veröffentlichten Advisory soll der Bedrohungsakteur Luckymouse die plattformübergreifende Messaging-App MiMi kompromittiert haben, um Hintertüren auf Windows, macOS und Linux zu installieren.

Trend Micro erklärte, dass der Angreifer, der sich auch als Emissary Panda, APT27 und Bronze Union identifiziert, Installationsdateien modifiziert und die bewaffnete Version der Chat-Plattform MiMi verwendet, um Trojaner-Samples für den Fernzugriff zu installieren.

Nachdem er die Installationsdateien geändert hatte, lud Luckymouse die bewaffnete Version von MiMi herunter und installierte HyperBro-Samples des Remote-Access-Trojaners (RAT) für das Windows-Betriebssystem und eine Mach-O-Binärdatei namens "rshell" für Linux und macOS.

"Obwohl dies nicht das erste Mal war, dass diese Technik eingesetzt wurde, zeigt diese jüngste Entwicklung das Interesse von Iron Tiger, Opfer über die drei wichtigsten Plattformen zu kompromittieren: Windows, Linux und macOS. Obwohl wir nicht alle Ziele identifizieren konnten, zeigen diese demografischen Daten eine geografische Region von Interesse. Von diesen Zielen konnten wir nur eines identifizieren, ein taiwanesisches Spieleentwicklungsunternehmen", heißt es im Trend Micro Advisory.

In einem separaten Advisory der Sicherheitsfirma SEKOIA wurde der Luckymouse-MiMi-Angriff chinesischen Akteuren zugeschrieben.

"Da die Nutzung dieser Anwendung in China gering zu sein scheint, ist es plausibel, dass sie als gezieltes Überwachungsinstrument entwickelt wurde. Es ist auch wahrscheinlich, dass die Nutzer durch Social Engineering des Betreibers dazu ermutigt werden, diese Anwendung herunterzuladen, um angeblich die Zensur der chinesischen Behörden zu umgehen", erklärte SEKOIA in seinem Gutachten.

Zu den Quellen für diesen Beitrag gehört ein Artikel in OODALOOP.