ShadowPad恶意软件正成为中国间谍组织的首选

ShadowPad, an infamous Windows backdoor that allows attackers to download further malicious modules or steal data, has been put to use by five different Chinese threat clusters since 2017.

“ShadowPad的采用大大降低了威胁参与者的开发和维护成本，”SentinelOne研究人员谢义仁（Yi Jhen Sheeh）和陈乔伊（Joey Chen）在一份详细的恶意软件概述中说，并补充说，“一些威胁组织在获得ShadowPad后停止开发自己的后门。”

这家美国网络安全公司将ShadowPad称为“中国间谍活动中私人出售的恶意软件的杰作”

自2015年以来，ShadowPad一直是PlugX和模块化恶意软件平台的继承者，在针对NetSarang、CCleaner和华硕的供应链事件发生后，它引起了广泛关注，导致运营商改变策略，并使用先进的反检测和持久性技术更新其防御措施。

最近，涉及StimoPad的攻击在香港和印度、巴基斯坦和其他中亚国家的关键基础设施中选出了一些组织。虽然主要是因为APT41，但众所周知，这种植入物是由几名中国间谍演员共享的，比如Tick、RedEcho、RedFoxtrot和被称为“红奖金行动”、“红坎库”和“鱼贩子”的集群。

研究人员说：“（Fishmonger背后的威胁因素）现在正在使用它和另一个名为Spyder的后门作为长期监控的主要后门，同时他们还分发其他初始感染的第一阶段后门，包括FunnySwitch、BIOPASS RAT和Cobalt Strike。”。2019冠状病毒疾病受害者包括大学、政府、媒体部门公司、科技公司和健康组织，这些组织在香港、台湾、印度和美国进行COVID-19研究。

该恶意软件通过解密和加载内存中的根插件来运行，该插件负责在运行时加载其他嵌入式模块，此外还动态部署来自远程指挥与控制（C2）服务器的补充插件，使对手能够将默认情况下未内置到该恶意软件中的额外功能纳入其中。迄今为止，至少有22个独特的插件已被确定。

受感染的机器则被一个基于Delphi的控制器控制，该控制器用于后门通信、更新C2基础设施和管理插件。

有趣的是，向ShadowPad用户提供的功能集不仅受到其卖家的严格控制，而且每个插件都是单独销售的，而不是提供包含所有模块的完整捆绑包，大多数示例是—；在大约100人中—人；嵌入了不到九个插件。

研究人员说：“ShadowPad是一种私人销售的、开发良好且功能齐全的后门，它的出现为威胁参与者提供了一个摆脱自行开发的后门的好机会。”。“虽然它设计精良，很可能由经验丰富的恶意软件开发人员生产，但其功能和反取证能力都在积极开发中。”