به گزارش کارگروه امنیت سایبربان؛ نسخه های اپلیکیشن پیام رسانی MiMi (می می) آلوده به در پشتی جدیدی به نام rshell (آرشِل) شده اند. این در پشتی می تواند در جهت سرقت داده از سیستم های لینوکس و مک او اس مورد استفاده قرار بگیرد.
تیم تحقیقاتی تهدید و شناسایی سکویا مدعی است نسخه مک او اس 2.3.0 این اپلیکیشن از 26 می 2022 دارای در پشتی است. (حدود 4 ماه) آن ها این موضوع را حین بررسی زیرساخت کنترل و فرمان بدافزار گروه هکری چینی APT27 شناسایی کردند.
ترند میکرو نیز شناسایی این کمپین را گزارش کرده است.
طبق بررسی های صورت گرفته، کد جاوا اسکریپت مخرب کاشته شده در کد منبع می می ابتدا از مک بودن دستگاه اطمینان حاصل می کند و سپس در پشتی آرشل را دانلود و اجرا می کند.
این بدافزار هنگامی که راه اندازی شود، اطلاعات سیستم را جمع آوری و سپس به سرور کنترل و فرمان ارسال می کند. این بدافزار سپس به انتظار فرمان های بازیگران مخرب گروه APT27 می نشیند.
مهاجمین می توانند با استفاده از این بدافزار پوشه ها و فایل ها را بر روی سیستم های نا ایمن دانلود و لیست کنند، بخوانند و بنویسند. این در پشتی از فرمان آپلود نیز پشتیبانی می کند و فایل ها را به سرور کنترل و فرمان ارسال می کند.
این بدافزار طبق مشاهدات محققین و نشانی های آی پی مشابه به گروه APT27 ارتباط داده شده است. از دیگر نام های این گروه می توان به لاکی مَوس، ایمیساری پاندا، آیرون تایگر اشاره کرد.
طبق مهندسی های معکوس انجام گرفته توسط اپراتورها، کاربران مورد هدف قرار گرفته این برنامه، با هدف دور زدن فیلترینگ اعمال شده توسط مقامات چینی آن را دانلود کرده اند!
