Gruppen har kunnat följas sedan 2018, APT10 också kända som TA410, är kinesiska, statsunderstödda hackare som arbetar för den kinesiska regimen. Nya analyser av gruppen pekar mot att gruppen i själva verket är tre olika grupper som jobbar med hisna egna intrångsverktyg.

Gruppen som är ansvariga för sofistikerade attacker mot amerikanska intressen består av tre undergrupper, alla med sina egna verktygsuppsättningar och mål, visar en färsk rapport från säkerhetsföretaget ESET. I topp finns en paraplygrupp med tre olika grupper under sig.

Kopplad

TA410 är en paraplygrupp för cyberspionage som är löst kopplad till APT10, en grupp knuten till Kinas ministerium för statlig säkerhet. Gruppen är känd inte bara för att rikta in sig på amerikanska organisationer inom allmännyttiga sektorn, utan även diplomatiska organisationer i Mellanöstern och Afrika. De nya rönen om gruppen och grupperna framgår av en rapport som publicerades denna vecka av forskare vid säkerhetsföretaget ESET.

Gruppen, som då troddes vara en och samma grupp, dök upp på nätet 2018. Metoden för att genomföra en attack var alltid desamma – försök att lura någon inom organisationen att ladda ned och installera ett program för fjärrstyrning, RAT. Måltavlor var enskilda användare inom amerikanska företag och myndigheter – Windows-användare.

Maskerades

Gruppen återkom i nya attacker och med nya typer av RAT, Remote Access Trojan, alltså ett program som utger sig för att göra en sak men som i själva verket gör något hela annat, en trojan. APTs attackprogram maskerades som uppdateringar för Windows, drivrutiner och en rad andra program och funktioner.

Hela tiden så har det trotts vara en grupp med tillgång till olika verktyg och med lite olika tillvägagångssätt närde genomför sina attacker. ESETs rapport hävdar nu att det inte är en grupp – utan tre olika grupper, vara och en specialiserade på en viss typ av attacker med sina egna verktyg.

Undergrupper

TA410 är tre undergrupper  – FlowingFrog, LookingFrog och JollyFrog – som var och en ”använder mycket liknande taktik, tekniker och procedurer (TTP) men olika verktygsuppsättningar och lämnar IP-adresser som finns i tre olika distrikt”, skriver forskarna Alexandre Côté Cyr och Matthieu Faou i rapporten.

Teamen överlappningar delvis varandra men de skiljer sig åt när det gäller vilka IP-nummer som används, de spår de lämnar efter sig och de metoder de använder.

Roll

Så hur kan du denna nya information används?

För att skydda ung mot intrång är det viktigt att veta hur hackarna arbetar, vilken metod de använder och hur en attack ser ut i detalj. Det är viktigt att kartlägga vilka program som används, hur mail som skickas ut formuleras och det är viktigt att veta vilka individer hackarna tar sikte på. I den kartläggningen är det viktigt att veta hur de här statsunderstödda grupperna opererar – nu pekar mycket mot att en av de mest okända grupperna, kinesiska APT inte är en grupp – utan tre. Var och med olika verktyg och olika metoder.