Een beruchte spionagegroep, verantwoordelijk voor de "Cloud Hopper" campagne uit 2017, maakt nu gebruik van de populaire mediaspeler VLC Media Player voor het laden van Cobalt Strike, software ontwikkeld voor het uitvoeren van penetratietests. Dat meldt antivirusbedrijf Trend Micro in een analyse.

De aanval maakt gebruik van malafide websites en "SEO poisoning" om medewerkers van interessante organisaties met malware te vinden. Zodra die op bepaalde termen zoeken verschijnen de malafide websites in de zoekresultaten. Deze malafide sites doen zich bijvoorbeeld voor als forum en bevatten linkjes naar zip-bestanden. Dit zip-bestand bevat malafide code, de gootkit loader, die uiteindelijk VLC Media Player downloadt.

VLC Media Player wordt vervolgens gebruikt voor het laden van een dll-bestand, dat een module van Cobalt Strike is. De software is zoals gezegd ontwikkeld voor gebruik bij penetratietests, maar wordt zeer geregeld door cybercriminelen en spionagroepen gebruikt. Via Cobalt Strike is het mogelijk om een besmet systeem op afstand opdrachten te geven.

"Het gebruik van legitieme tools is inmiddels gemeengoed", aldus onderzoeker Hitomi Kimura. Hij vermoedt dat aanvallers op deze manier antivirussoftware willen omzeilen en menselijke controle proberen te misleiden. Eind december waarschuwde de Australische overheid dat het de gootkit loader op meerdere Australische netwerken had waargenomen.

Volgens Trend Micro zit een spionagegroep genaamd APT10 achter de aanval, ook bekend als Potassium. De groep kwam in 2017 groot in het nieuws omdat het bij meerdere cloudproviders en managed serviceproviders had ingebroken om zo toegang tot allerlei organisaties wereldwijd te krijgen. De aanvalscampagne kreeg de naam Cloud Hopper. Twee vermeende leden van de groep werden in 2018 door de Verenigde Staten aangeklaagd.