研究人员将ShadowPad恶意软件攻击与中国国防部和解放军联系起来

网络安全研究人员已经详细说明了阴影板，这是一个复杂的模块化后门，近年来被越来越多的中国威胁组织采用，同时也将其与该国的民用和军事情报机构联系起来。

Secureworks的研究人员在与《黑客新闻》分享的一份报告中说：“ShadowPad在内存中使用自定义解密算法进行解密。”。“ShadowPad提取有关主机的信息，执行命令，与文件系统和注册表交互，并部署新模块以扩展功能。”

ShadowPad是一个模块化的恶意软件平台，与PlugX恶意软件有明显的重叠，已被用于对NetSarang、CCleaner和华硕的高调攻击，导致运营商改变策略并更新防御措施。

而最初投放阴影板的战役被认为是一个威胁集群，被追踪为青铜阿特拉斯，又名钡–；在一家名为成都404和8211的网络安全公司工作的中国公民；自2019年以来，多个中国威胁组织一直在使用它。

在2021年8月的恶意软件的详细概述中，网络安全公司StimeLeNon称为SuffoPad“私下销售中国间谍软件中的恶意软件的杰作”。普华永道2021年12月发布的一份分析报告披露了一种定制包装机制（8211）；命名为ScatterBee–；用于混淆ShadowPad二进制文件的恶意32位和64位有效负载。

恶意软件有效载荷通常部署到主机上，或者在DLL加载程序中加密，或者与DLL加载程序一起嵌入到单独的文件中，然后DLL加载程序使用定制的解密算法对内存中嵌入的ShadowPad有效载荷进行解密和执行。

这些DLL加载器在被易受DLL搜索顺序劫持攻击的合法可执行文件侧向加载后执行恶意软件，这种技术允许通过劫持用于查找所需DLL以加载到程序中的方法来执行恶意软件。

Secureworks观察到的选择感染链还涉及第三个文件，该文件包含加密的ShadowPad有效载荷，通过执行合法的二进制文件（例如BDReinit.exe或Oleview.exe）来侧向加载DLL，进而加载和解密第三个文件。

或者，威胁参与者将DLL文件放在Windows System32目录中，以便由远程桌面配置（SessionEnv）服务加载，最终导致在受损系统上部署Cobalt Strike。

在一次ShadowPad事件中，入侵为发动手动键盘攻击铺平了道路，这种攻击指的是人类黑客手动登录受感染的系统，自行执行命令，而不是使用自动脚本。

此外，Secureworks将不同的ShadowPad活动集群，包括青铜日内瓦（又名Hellsing）、青铜巴特勒（又名Tick）和青铜亨特利（又名Tonto团队）归因于与中国人民解放军战略支援部队（PLASSF）合作的中华民族国家团体。

“证据[…；]研究人员说：“这表明，ShadowPad已经被MSS下属的威胁小组以及代表区域战区司令部运作的解放军下属威胁小组部署。”该恶意软件可能是由青铜阿特拉斯公司下属的威胁参与者开发的，然后在2019年左右与MSS和PLA威胁组织共享。"