Cybersäkerhetsforskare från Proofpoint släpper i dag en ny rapport kring att man observerat ett ökat antal nätkriminella som främst riktar in sig på kinesiskspråkiga måltavlor – något som visar på en ökning av ekonomiskt driven aktivitet i den kinesiska cyberundervärlden.
Bland annat har man sett en återkomst av trojanen Sainbox med fjärråtkomst samt en trojan kallad “ValleyRAT”, som levereras via e-postmeddelanden som vanligtvis är skrivna på kinesiska.
Sainbox är en variant av den skadliga programvaran Gh0st RAT, som identifierades redan 2008.
E-postmeddelandena är ofta kopplade till olika typer av ekonomiska teman, som fakturor, betalningar och nya produkter. Den skadliga programvaran är sedan inbakad i Excel-dokument och PDF-filer eller gömd via skadliga länkar.
Trojanerna verkar komma från en enda enhet utan snarare ett kluster av aktivitet. Det är möjligt att flera hotaktörer använder samma infrastruktur i sina leveranser. Sammanlagt har Proofpoint observerat mer än 30 separata kampanjer som utnyttjar skadlig programvara som vanligtvis förknippas med kinesisk cyberbrottsaktivitet.
Just kombinationen av flera olika skadliga programvaror med kinesiskt tema tyder på att finansiellt motiverade kinesiska hackare mycket väl utmana dominansen från ryska nätkriminella.
De nätkriminella bakom aktiviteten verkar också ha ambitioner att sprida sig vidare till andra länder. En av kampanjerna observerat är att de riktad mot japanska organisationer.
