**Tropic Trooper** (alias APT23, Earth Centaur, KeyBoy et Pirate Panda), un groupe de pirates informatiques ayant déjà ciblé des entités à Taïwan, Hong Kong et aux Philippines, serait à l'origine de cette activité récente. **Zscaler ThreatLabz** a découvert la campagne le mois dernier et l'attribue avec une grande confiance à ce groupe, actif depuis au moins 2011. ### AdaptixC2 Beacon et GitHub C2 "Les acteurs de la menace ont créé un écouteur AdaptixC2 Beacon personnalisé, exploitant **GitHub** comme plateforme de commandement et de contrôle (C2)", a déclaré le chercheur en sécurité Yin Hong Chang dans une analyse. Cela indique un changement stratégique dans leurs tactiques, adaptant des ressources facilement disponibles à des fins malveillantes. La campagne ciblerait des individus sinophones à Taïwan, ainsi que des individus en Corée du Sud et au Japon. L'attaque commence par une archive ZIP contenant des documents à thème militaire. L'ouverture de cette archive lance une version non autorisée de **SumatraPDF**, qui affiche un document PDF leurre tout en récupérant simultanément du shellcode chiffré d'un serveur de staging pour lancer l'AdaptixC2 Beacon. ### TOSHIS Loader et attaque multi-étapes L'exécutable **SumatraPDF** backdoorisé lance une version modifiée d'un loader nommé TOSHIS, une variante de Xiangoop. Xiangoop est un malware précédemment lié à **Tropic Trooper**, et a été utilisé pour récupérer des payloads tels que Cobalt Strike Beacon ou l'agent Merlin pour le framework Mythic.  Le loader initie l'attaque multi-étapes, déposant le document leurre comme distraction et l'agent AdaptixC2 Beacon en arrière-plan. L'agent utilise **GitHub** pour le C2, communiquant avec l'infrastructure de l'attaquant pour recevoir des tâches à exécuter sur l'hôte compromis. ### Tunnels VS Code pour l'accès à distance L'attaque s'intensifie lorsqu'une victime est jugée précieuse. À ce stade, l'acteur de la menace déploie **VS Code** et configure des tunnels VS Code pour l'accès à distance. Sur certaines machines, des applications trojanisées sont installées, probablement pour dissimuler leurs activités. Le serveur de staging ("158.247.193[.]100") a également été observé hébergeant un Cobalt Strike Beacon et un backdoor personnalisé appelé EntryShell, des outils précédemment utilisés par **Tropic Trooper**. ### Changement de tactiques "Similaire à la campagne TAOTH, des backdoors disponibles publiquement sont utilisés comme payloads", a noté **Zscaler**. "Alors que Cobalt Strike Beacon et Mythic Merlin étaient précédemment utilisés, l'acteur de la menace s'est maintenant tourné vers AdaptixC2."