Secureworksは6月23日(米国時間)、「BRONZE STARLIGHT Ransomware Operations Use HUI Loader|Secureworks」において、HUIローダを使ってキャンペーンを展開する中国の持続的標的型攻撃(APT: Advanced Persistent Threat)グループを紹介した。この脅威アクターは同国の脅威アクタが展開しているキャンペーンから注意をそらすためにキャンペーンを展開しているという。
-
BRONZE STARLIGHT Ransomware Operations Use HUI Loader|Secureworks
HUIローダは悪意のあるプログラムをロードする機能のみを提供するカスタムDLLローダ。ローダ内の文字列からその名がつけられており、機能を最小限にすることでマルウェアとしての正体を隠蔽し発見されにくくしている。近年、脅威アクターが好んで使用するCobalt Strike Beaconのロードにも使われている。
2021年よりキャンペーンを展開している中国の脅威アクター「BRONZE STARLIGHT (DEV-0401とも呼ばれる)」がHUIローダを使っており、LockFile、AtomSilo、Rook、Night Sky、PandoraといったランサムウェアファミリをCobalt Strike Beaconを使うキャンペーンが展開されている。調査により、グローバルユーザーを標的としていることも判明している。
SecureworksはBRONZE STARLIGHTのキャンペーンとA41APTキャンペーンの比較も行っている。A41APTは2021年から日本の組織をターゲットに展開されているキャンペーン。HUIローダを使って遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)をロードし、日本の知的財産を窃取しようとする。BRONZE STARLIGHTと同じ中国を拠点とする脅威アクターであるBRONZE RIVERSIDE (APT10、Stone Pandaなどとも呼ばれる)によって展開されている。
2つのキャンペーンがともにHUIローダを使っており、中国政府の支援を受けている2つの脅威アクターが同時期にキャンペーンを展開していることやBRONZE STARLIGHTが展開している各ランサムウェアファミリが短命であること、BRONZE STARLIGHTのターゲットがグローバルであることなどから、BRONZE STARLIGHTのキャンペーンがA41APTキャンペーンから注目を反らすことを目的としているとみられている。
