Documentato per la prima volta da ESET nell’aprile 2022, si ritiene che Witchetty abbia stretti legami con l’attore nation state cinese APT10 (alias “Cicada”) e che la sua attività abbia preso particolarmente di mira governi, enti di beneficienza e organizzazioni industriali/manifatturiere adottando principalmente una catena d’infezione a due fasi: una backdoor di prima fase nota come X4 e un payload di seconda fase noto come LookBack.
Secondo quanto riferiscono i ricercatori Symantec, la nuova campagna di cyberspionaggio sarebbe iniziata nel febbraio 2022 ed è tuttora in corso: finora avrebbe danneggiato due governi mediorientali e il mercato borsistico di una nazione africana che non è stata menzionata.
Avrebbero utilizzato a loro vantaggio tre vulnerabilità a Exchange ProxyShell e due a ProxyLogon per prendere il controllo di alcuni server e rubare credenziali di accesso. La tecnica della steganografia con cui è stata nascosta la backdoor in un vecchio logo di Windows (sembra Windows 7, a fianco l’immagine di Symantec) è servita sia per non farsi notare dagli utenti ma soprattutto dagli antivirus.
“Camuffare il payload ha consentito agli hacker di ospitarlo su un servizio gratuito e affidabile – spiega Symantec nel suo rapporto. È molto meno probabile che i download da host ritenuti affidabili come ad esempio GitHub alzino l’attenzione degli utenti”.
Il modo migliore per prevenire questo genere di attacchi è installare tempestivamente gli aggiornamenti di sicurezza nel momento in cui vengono rilasciati, anche se pare che, per il momento, Witchetty e i gruppi hacker “affiliati” siano concentrati su Asia e Africa. Ma il consiglio è sempre valido.