Pe lângă recompilarea probelor de malware pentru diferite arhitecturi, se spune că artefactele au fost găzduite pe noi servere private virtuale (VPS-uri), a declarat firma de securitate cibernetică Lumen Black Lotus Labs într-un raport publicat săptămâna trecută.
Țintele au inclus firme comerciale, cum ar fi producătorii de semiconductoare și produse chimice, precum și cel puțin o organizație guvernamentală municipală din Taiwan, precum și un server al Departamentului Apărării (DoD) al SUA asociat cu prezentarea și recuperarea de propuneri pentru contractele de apărare.
HiatusRAT a fost dezvăluit pentru prima dată de compania de securitate cibernetică în martie 2023, ca având drept țintă routere pentru afaceri pentru a spiona în mod discret victimele, în principal în America Latină și Europa, ca parte a unei campanii care a început în iulie 2022.
Cele mai recente atacuri, observate de la jumătatea lunii iunie până în august 2023, implică utilizarea unor binare pre-construite HiatusRAT special concepute pentru arhitecturile Arm, Intel 80386 și x86-64, alături de MIPS, MIPS64 și i386.
Analiza telemetriei pentru a determina conexiunile făcute la serverul care găzduiește malware-ul a arătat că "peste 91% dintre conexiunile de intrare proveneau din Taiwan, iar s-a observat o preferință pentru dispozitivele de rețea fabricate de Ruckus."
Nu este clar care este obiectivul final, dar se bănuiește că adversarul ar fi căutat informații disponibile publicului referitoare la contractele militare curente și viitoare pentru a le folosi în atacurile viitoare.
Țintirea activelor de perimetru, cum ar fi routerele, a devenit o practică în ultimele luni, cu actorii amenințărilor legați de China care au exploatat vulnerabilitățile de securitate din dispozitivele Fortinet și SonicWall neactualizate pentru a stabili persistență pe termen lung în medii țintă.