Aktor ancaman yang dikenal sebagai Lucky Mouse telah mengembangkan versi Linux dari toolkit malware yang disebut SysUpdate, memperluas kemampuannya untuk menargetkan perangkat yang menjalankan sistem operasi.
Versi tertua dari artefak yang diperbarui berasal dari Juli 2022, dengan malware yang menggabungkan fitur-fitur baru yang dirancang untuk menghindari perangkat lunak keamanan dan menolak rekayasa balik.
Perusahaan keamanan siber Trend Micro mengatakan pihaknya mengamati varian Windows yang setara pada Juni 2022, hampir satu bulan setelah infrastruktur command-and-control (C2) disiapkan.
Lucky Mouse juga dilacak di bawah moniker APT27, Bronze Union, Emissary Panda, dan Iron Tiger, dan diketahui memanfaatkan berbagai malware seperti SysUpdate, HyperBro, PlugX, dan backdoor Linux yang dijuluki rshell.
Selama dua tahun terakhir, kampanye yang diatur oleh kelompok ancaman telah merangkul kompromi rantai pasokan dari aplikasi yang sah seperti Able Desktop dan MiMi Chat untuk mendapatkan akses jarak jauh ke sistem yang disusupi.
Pada Oktober 2022, Intrinsec merinci serangan terhadap perusahaan Prancis yang menggunakan kerentanan ProxyLogon di Microsoft Exchange Server untuk memberikan HyperBro sebagai bagian dari operasi selama berbulan-bulan yang mengeksfiltrasi "gigabyte data."
Target kampanye terbaru termasuk perusahaan perjudian di Filipina, sektor yang telah berulang kali mendapat serangan dari Iron Tiger sejak 2019.
Vektor infeksi pasti yang digunakan dalam serangan itu tidak jelas, tetapi tanda-tanda menunjukkan penggunaan installer yang menyamar sebagai aplikasi perpesanan seperti Youdu sebagai umpan untuk mengaktifkan urutan serangan.
Sedangkan untuk SysUpdate versi Windows, ia hadir dengan fitur untuk mengelola proses, mengambil tangkapan layar, melakukan operasi file, dan menjalankan perintah sewenang-wenang. Ini juga mampu berkomunikasi dengan server C2 melalui permintaan TXT DNS, teknik yang dikenal sebagai DNS Tunneling.
