Los investigadores han revelado una sofisticada campaña de pozal húmedo ejecutada por APT TA423. Esta operación emplea el marco ScanBox para distribuir malware de teclógrafo. Los ataques se dirigen a organizaciones australianas nacionales e industrias de energía offshore en el Mar del Sur de China. Las primeras correos electrónicos engañosos con títulos como “Licencia por Enfermedad”, “Investigación de Usuarios” y “Solicitud de Cooperación” dirigían a las víctimas a visitar un sitio web comprometido asociado con la supuesta organización de noticias, ‘Australian Morning News’. Este sitio web en realidad sirvió malware ScanBox.
ScanBox es una herramienta de reconocimiento basada en JavaScript que puede realizar teclografiado sin depurar malware. Al emplear este marco en combinación con los ataques de pozal húmedo, APT TA423 puede recopilar información sensible a través del teclografiado de las actividades de los usuarios en sitios web comprometidos. El script inicial proporcionaba detalles sobre el ordenador del objetivo, incluyendo el sistema operativo y las extensiones del navegador instaladas. Esta ataque en varias fases proporciona valiosas perspectivas para futuras campañas.
Se cree que APT TA423 opera desde la Isla Hainan de China y apoya al Ministerio de Seguridad Estatal (MSS), que se ocupa de inteligencia contrainteligencia, inteligencia extranjera y vigilancia cibernética.