O **Tropic Trooper** (também conhecido como APT23, Earth Centaur, KeyBoy e Pirate Panda), um grupo de hacking com histórico de ataques a entidades em Taiwan, Hong Kong e Filipinas, é o principal suspeito por essa atividade recente. A **Zscaler ThreatLabz** descobriu a campanha no mês passado e a atribui com alta confiança a este grupo, que está ativo desde pelo menos 2011. ### AdaptixC2 Beacon e GitHub C2 "Os atores de ameaça criaram um listener customizado AdaptixC2 Beacon, utilizando o **GitHub** como plataforma de comando e controle (C2)", disse o pesquisador de segurança Yin Hong Chang em uma análise. Isso indica uma mudança estratégica em suas táticas, adaptando recursos prontamente disponíveis para fins maliciosos. A campanha tem como alvo indivíduos falantes de chinês em Taiwan, bem como indivíduos na Coreia do Sul e Japão. O ataque começa com um arquivo ZIP contendo documentos com tema militar. A abertura deste arquivo inicia uma versão maliciosa do **SumatraPDF**, que exibe um documento PDF de isca enquanto simultaneamente recupera shellcode criptografado de um servidor de staging para lançar o AdaptixC2 Beacon. ### TOSHIS Loader e Ataque Multi-Estágio O executável **SumatraPDF** backdooreado lança uma versão modificada de um loader codinome TOSHIS, uma variante do Xiangoop. Xiangoop é um malware previamente associado ao **Tropic Trooper**, e tem sido usado para buscar payloads como Cobalt Strike Beacon ou o agente Merlin para o framework Mythic.  O loader inicia o ataque multi-estágio, descartando o documento de isca como distração e o agente AdaptixC2 Beacon em segundo plano. O agente usa o **GitHub** para C2, comunicando-se com a infraestrutura do atacante para receber tarefas para execução no host comprometido. ### VS Code Tunnels para Acesso Remoto O ataque escala quando uma vítima é considerada valiosa. Neste ponto, o ator de ameaça implanta o **VS Code** e configura túneis do VS Code para acesso remoto. Em certas máquinas, aplicações trojanizadas são instaladas, provavelmente para ocultar suas atividades. O servidor de staging ("158.247.193[.]100") também foi observado hospedando um Cobalt Strike Beacon e um backdoor customizado chamado EntryShell, ferramentas previamente usadas pelo **Tropic Trooper**. ### Mudança de Táticas "Semelhante à campanha TAOTH, backdoors publicamente disponíveis são usados como payloads", observou a **Zscaler**. "Enquanto Cobalt Strike Beacon e Mythic Merlin foram usados anteriormente, o ator de ameaça mudou agora para AdaptixC2."