中国に関連する高度な持続的脅威（APT）グループであるAPT41は、既知のマルウェア「StealthVector」の「高度で改良されたバージョン」を使用して、新たに記録されていないバックドア「MoonWalk」を配信している疑いがあります。この新しいバージョンのStealthVector（別名DUSTPAN）は、Zscaler ThreatLabzによってDodgeBoxと名付けられ、2024年4月にローダーストレインが発見されました。

「DodgeBoxは、新しいバックドアであるMoonWalkを読み込むローダーです」と、セキュリティ研究者のYin Hong ChangとSudeep Singhは述べています。「MoonWalkは、DodgeBoxに実装された多くの回避技術を共有し、Google Driveを使用してコマンド＆コントロール（C2）通信を行います。」

APT41は、中国に関連する著名な国家支援の脅威アクターであり、少なくとも2007年から活動していることが知られています。サイバーセキュリティコミュニティでは、Axiom、Blackfly、Brass Typhoon（旧Barium）、Bronze Atlas、Earth Baku、HOODOO、Red Kelpie、TA415、Wicked Panda、Winntiなどの名前で追跡されています。

2020年9月、米国司法省（DoJ）は、このハッキンググループに関連する複数の脅威アクターを、世界中の100社以上を標的にした侵入キャンペーンを実行したとして起訴しました。

「これらの侵入により、ソースコード、ソフトウェアコードサイン証明書、顧客アカウントデータ、貴重なビジネス情報の盗難が可能になりました」とDoJは当時述べており、さらに「ランサムウェアや『クリプトジャッキング』スキームを含む他の犯罪計画も実行されました」と付け加えました。

過去数年間で、この脅威グループは、2021年5月から2022年2月にかけての米国州政府ネットワークの侵害、およびGoogle Command and Control（GC2）と呼ばれるオープンソースのレッドチーミングツールを使用した台湾のメディア組織を標的とした攻撃に関連付けられています。

中国のAPT41
APT41によるStealthVectorの使用は、2021年8月にTrend Microによって初めて記録され、C/C++で書かれたシェルコードローダーであり、Cobalt Strike BeaconやScrambleCross（別名SideWalk）というシェルコードインプラントを配信するために使用されると説明されています。

DodgeBoxはStealthVectorの改良版と評価されており、呼び出しスタックの偽装、DLLサイドローディング、DLLホロウィングなどのさまざまな技術を取り入れて検出を回避します。このマルウェアがどのように配布されるかは現在不明です。

「APT41は、DodgeBoxを実行する手段としてDLLサイドローディングを使用しています」と研究者たちは述べています。「彼らは、Sandboxieによって署名された正規の実行ファイル（taskhost.exe）を利用して、悪意のあるDLL（sbiedll.dll）をサイドロードします。」

不正なDLL（つまりDodgeBox）は、Cで書かれたDLLローダーであり、第二段階のペイロードであるMoonWalkバックドアを復号して起動する役割を果たします。

DodgeBoxがAPT41に帰属される理由は、DodgeBoxとStealthVectorの類似点、DLLサイドローディングの使用（これは中国関連のグループがPlugXなどのマルウェアを配信するために広く使用する技術）、およびDodgeBoxのサンプルがタイと台湾からVirusTotalに提出されたという事実にあります。これらの地域は中国にとって戦略的に重要です。

「DodgeBoxは、新たに特定されたマルウェアローダーであり、静的および行動検出の両方を回避するための複数の技術を採用しています」と研究者たちは述べています。

「DodgeBoxは、埋め込まれたDLLの復号とロード、環境チェックとバインディングの実行、クリーンアップ手順の実行など、さまざまな機能を提供します。」