Wspierana przez państwo chińska grupa APT24 prowadzi od wielu lat operację szpiegowską zbudowaną wokół nieznanego wcześniej szczepu szkodliwego oprogramowania znanego jako BadAudio, stale udoskonalając sposób, w jaki dociera on do ofiar i pozostaje ukryty. Analiza przeprowadzona przez grupę Google ds. analizy zagrożeń widać kampania jest aktywna co najmniej od końca 2022 r. i łączy klasyczny phishing podwodny z kompromisami w zakresie wodopoju i dużą ingerencją w łańcuch dostaw, która dotknęła tysiące stron internetowych, a wszystko to przy jednoczesnym skupieniu wysiłków na starannie wybranych systemach Windows.
Najwcześniejsze działanie powiązane z BadAudio obejmowało naruszenie bezpieczeństwa ponad 20 legalnych witryn publicznych z różnych sektorów w okresie od listopada 2022 r. do września 2025 r. APT24 umieścił w tych witrynach niestandardowy kod JavaScript, aby pobrać odciski palców odwiedzających i zidentyfikować systemy, na które warto celować. Kiedy odwiedzający spełnił kryteria, skrypt uruchamiał fałszywe monit o aktualizację oprogramowania, który dostarczał moduł ładujący BadAudio, podczas gdy inni użytkownicy nie widzieli niczego niezwykłego.
Od lipca 2024 r. grupa przeszła na taktykę wyższej dźwigni, wielokrotnie włamując się do firmy zajmującej się marketingiem cyfrowym na Tajwanie, która dostarcza biblioteki JavaScript do witryn klientów. W jednej fazie zmodyfikowali powszechnie używaną bibliotekę i zarejestrowali podobną domenę, która sfałszowała główną sieć dostarczania treści, umożliwiając im dotarcie do ponad 1000 domen za pośrednictwem zaufanych łańcuchów dostaw. Później, od końca 2024 r. do lipca 2025 r., wrócili do tego samego dostawcy i ukryli zaciemniony kod JavaScript w zmodyfikowanym pliku JSON pobranym przez inny skrypt tego dostawcy. W każdym przypadku wstrzyknięty kod profilował odwiedzających i wysyłał dane zakodowane w formacie Base64 z powrotem do infrastruktury atakującego, która następnie decydowała, czy odpowiedzieć adresem URL następnego etapu.
Równolegle, począwszy od około sierpnia 2024 r., APT24 wykorzystywał e-maile typu spearphishing, w których podszywał się pod grupy ratujące zwierzęta, aby kierować BadAudio bezpośrednio do celów. Niektóre z tych e-maili zawierały linki do ładunków hostowanych na platformach chmurowych, takich jak Google Drive i OneDrive, zamiast na serwerach kontrolowanych przez osoby atakujące. Wiele prób zostało odfiltrowanych jako spam, ale wiadomości często zawierały piksele śledzące, dzięki czemu operatorzy mogli zobaczyć, kiedy odbiorca otworzył wiadomość e-mail, i zawęzić target.
Samo BadAudio zostało zbudowane tak, aby udaremnić analizę. Badacze Google opisują moduł ładujący jako mocno zaciemniony i zaprojektowany w celu osiągnięcia wykonania poprzez przejmowanie kolejności wyszukiwania bibliotek DLL, w wyniku czego legalna aplikacja ładuje złośliwy komponent. Jego kod wykorzystuje spłaszczanie przepływu sterowania, dzieląc normalną logikę programu na wiele małych bloków koordynowanych przez dyspozytora i zmienną stanu, co komplikuje zarówno automatyczną, jak i ręczną inżynierię wsteczną.
Po uruchomieniu BadAudio zbiera dane hosta, takie jak nazwa komputera, nazwa użytkownika i architektura, szyfruje je zakodowanym na stałe kluczem AES i wysyła na stały adres dowodzenia i kontroli. Jeśli operatorzy zdecydują się kontynuować, złośliwe oprogramowanie pobiera ładunek zaszyfrowany AES, odszyfrowuje go i uruchamia w pamięci poprzez boczne ładowanie biblioteki DLL. W co najmniej jednym przypadku kolejnym etapem był Cobalt Strike Beacon, chociaż Google nie mógł potwierdzić, że to narzędzie było używane we wszystkich włamaniach. Pomimo trzech lat użytkowania BadAudio w większości nie udało się wykryć programów antywirusowych: z ośmiu próbek udostępnionych przez Google tylko dwie zostały oznaczone w serwisie VirusTotal przez ponad 25 produktów, a pozostałe, w tym pliki binarne utworzone w grudniu 2022 r., zostały wykryte przez co najwyżej pięć silników. Zdaniem Google to połączenie zasięgu łańcucha dostaw, selektywnego targetowania i słabej widoczności podkreśla zdolność APT24 do utrzymywania trwałego, adaptacyjnego szpiegostwa przy użyciu stosunkowo małego fragmentu dobrze ukrytego kodu.
