BRONZE STARLIGHT Ransomware Operations Use HUI Loader|Secureworks
HUIローダは悪意のあるプログラムをロードする機能のみを提供するカスタムDLLローダ。ローダ内の文字列からその名がつけられており、機能を最小限にすることでマルウェアとしての正体を隠蔽し発見されにくくしている。近年、脅威アクターが好んで使用するCobalt Strike Beaconのロードにも使われている。
2021年よりキャンペーンを展開している中国の脅威アクター「BRONZE STARLIGHT (DEV-0401とも呼ばれる)」がHUIローダを使っており、LockFile、AtomSilo、Rook、Night Sky、PandoraといったランサムウェアファミリをCobalt Strike Beaconを使うキャンペーンが展開されている。調査により、グローバルユーザーを標的としていることも判明している。
SecureworksはBRONZE STARLIGHTのキャンペーンとA41APTキャンペーンの比較も行っている。A41APTは2021年から日本の組織をターゲットに展開されているキャンペーン。HUIローダを使って遠隔操作型トロイの木馬(RAT: Remote Administration Trojan)をロードし、日本の知的財産を窃取しようとする。BRONZE STARLIGHTと同じ中国を拠点とする脅威アクターであるBRONZE RIVERSIDE (APT10、Stone Pandaなどとも呼ばれる)によって展開されている。
2つのキャンペーンがともにHUIローダを使っており、中国政府の支援を受けている2つの脅威アクターが同時期にキャンペーンを展開していることやBRONZE STARLIGHTが展開している各ランサムウェアファミリが短命であること、BRONZE STARLIGHTのターゲットがグローバルであることなどから、BRONZE STARLIGHTのキャンペーンがA41APTキャンペーンから注目を反らすことを目的としているとみられている。