**Tropic Trooper** (auch bekannt als APT23, Earth Centaur, KeyBoy und Pirate Panda), eine Hackergruppe mit einer Geschichte der gezielten Angriffe auf Einrichtungen in Taiwan, Hongkong und den Philippinen, wird hinter dieser jüngsten Aktivität vermutet. **Zscaler ThreatLabz** entdeckte die Kampagne im letzten Monat und schreibt sie mit hoher Sicherheit dieser Gruppe zu, die seit mindestens 2011 aktiv ist. ### AdaptixC2 Beacon und GitHub C2 "Die Bedrohungsakteure erstellten einen benutzerdefinierten AdaptixC2 Beacon Listener und nutzten **GitHub** als ihre Command-and-Control (C2) Plattform", sagte der Sicherheitsforscher Yin Hong Chang in einer Analyse. Dies deutet auf eine strategische Verlagerung ihrer Taktiken hin, bei der leicht verfügbare Ressourcen für bösartige Zwecke adaptiert werden. Die Kampagne zielt vermutlich auf chinesischsprachige Personen in Taiwan sowie auf Personen in Südkorea und Japan ab. Der Angriff beginnt mit einem ZIP-Archiv, das militärisch thematisierte Dokumente enthält. Das Öffnen dieses Archivs startet eine bösartige Version von **SumatraPDF**, die ein Lockvogel-PDF-Dokument anzeigt und gleichzeitig verschlüsselten shellcode von einem Staging-Server abruft, um den AdaptixC2 Beacon zu starten. ### TOSHIS Loader und Multi-Stage-Angriff Die Backdoor-Version der **SumatraPDF**-Executable startet eine modifizierte Version eines Loaders mit dem Codenamen TOSHIS, einer Variante von Xiangoop. Xiangoop ist eine Malware, die zuvor mit **Tropic Trooper** in Verbindung gebracht wurde und zum Abrufen von Payloads wie Cobalt Strike Beacon oder dem Merlin-Agenten für das Mythic-Framework verwendet wurde.  Der Loader initiiert den Multi-Stage-Angriff, indem er das Lockvogel-Dokument als Ablenkung und den AdaptixC2 Beacon Agent im Hintergrund ablegt. Der Agent nutzt **GitHub** für C2 und kommuniziert mit der Infrastruktur des Angreifers, um Aufgaben zur Ausführung auf dem kompromittierten Host zu erhalten. ### VS Code Tunnels für Fernzugriff Der Angriff eskaliert, wenn ein Opfer als wertvoll eingestuft wird. Zu diesem Zeitpunkt setzt der Bedrohungsakteur **VS Code** ein und richtet VS Code Tunnels für den Fernzugriff ein. Auf bestimmten Maschinen werden trojanisierte Anwendungen installiert, wahrscheinlich um ihre Aktivitäten zu verschleiern. Der Staging-Server ("158.247.193[.]100") wurde auch dabei beobachtet, einen Cobalt Strike Beacon und eine benutzerdefinierte Backdoor namens EntryShell zu hosten, Werkzeuge, die zuvor von **Tropic Trooper** verwendet wurden. ### Taktikwechsel "Ähnlich wie bei der TAOTH-Kampagne werden öffentlich verfügbare Backdoors als Payloads verwendet", bemerkte **Zscaler**. "Während zuvor Cobalt Strike Beacon und Mythic Merlin verwendet wurden, hat der Bedrohungsakteur nun auf AdaptixC2 umgestellt."