Il gruppo di cybercriminali noto come Dragon Breath è stato recentemente individuato mentre utilizza un loader a più stadi chiamato RONINGLOADER per distribuire una versione modificata del trojan di accesso remoto Gh0st RAT. Questa campagna si rivolge principalmente a utenti di lingua cinese, sfruttando installer NSIS trojanizzati che si spacciano per applicazioni legittime come Google Chrome e Microsoft Teams.

Catena di infezione e tecniche di evasione

La catena di infezione implementa un meccanismo multi-stage che sfrutta diverse tecniche di evasione, ideate per aggirare e neutralizzare i principali prodotti di sicurezza endpoint popolari nel mercato cinese. Tra queste tecniche, si segnalano l’uso di driver firmati legittimamente, il dispiegamento di policy custom WDAC (Windows Defender Application Control) e la manipolazione del binario Microsoft Defender tramite abuso di PPL (Protected Process Light).

Il gruppo Dragon Breath e il Miuuti Group

Il gruppo Dragon Breath, noto anche come APT-Q-27 e Golden Eye, è attivo almeno dal 2020 e collegato a una più ampia entità chiamata Miuuti Group, specializzata in attacchi ai settori gaming e gambling online. Nella campagna analizzata, gli installer NSIS malevoli fungono da trampolino di lancio per altri due installer NSIS embedded: uno installa realmente il software atteso, mentre l’altro avvia silenziosamente la catena d’attacco.

Funzionamento di RONINGLOADER

Il loader RONINGLOADER distribuisce una DLL e un file crittografato, utilizzando la DLL per estrarre shellcode dal file e lanciare un altro binario direttamente in memoria. Questo loader tenta anche di ottenere privilegi elevati, terminando i processi associati alle principali soluzioni antivirus come Microsoft Defender, Kingsoft, Tencent e Qihoo 360. In particolare, quando viene rilevato Qihoo 360, il malware cambia le regole del firewall, inietta shellcode nel servizio Volume Shadow Copy (VSS) e utilizza un driver firmato per terminare i processi di sicurezza, ripristinando poi le impostazioni di rete.

Tecniche avanzate e obiettivi del malware

RONINGLOADER utilizza anche tecniche avanzate per aggirare il controllo dell’account utente (UAC) e creare regole firewall ad hoc per isolare le soluzioni di sicurezza cinesi. L’obiettivo finale è iniettare una DLL malevola in processi Windows legittimi ad alto privilegio come regsvr32.exe e TrustedInstaller.exe, consentendo il rilascio e il controllo di Gh0st RAT. Questo trojan consente ai criminali di manipolare il registro di sistema, eseguire comandi, raccogliere dati sensibili come digitazioni, clipboard e titoli delle finestre attive.

Campagne di impersonificazione e nuove tecniche di infezione

Parallelamente, sono state identificate campagne di impersonificazione di brand su larga scala per distribuire Gh0st RAT, con centinaia di domini che ospitano installer compromessi di software diffusi tra utenti cinesi. La seconda ondata di attacchi si distingue per una catena di infezione ancora più sofisticata, con l’uso di domini di reindirizzamento intermedi e script integrati che sfruttano tecniche di DLL side-loading per eludere i controlli di rete e endpoint.