Σε πρόσφατες κυβερνοεπιθέσεις που στοχεύουν σε τεχνολογικούς, ερευνητικούς και κυβερνητικούς φορείς της περιοχής Ασίας-Ειρηνικού, αναγνωρίστηκε ένας απειλητικός παράγοντας με την ονομασία BlackTech.

Είναι ενεργός από το 2007 και χρησιμοποιεί πληθώρα ψευδωνύμων όπως Circuit Panda, HUAPI, Manga Taurus. Το BlackTech, το οποίο είναι συνδεδεμένο με την Κίνα, έχει την ικανότητα να τροποποιεί το firmware δρομολογητών και να εκμεταλλεύεται διασυνδέσεις εμπιστοσύνης μεταξύ τομέων για να διεισδύει σε δίκτυα.

Ένα κρίσιμο στοιχείο στην τακτική του BlackTech είναι η ενσωμάτωση προηγμένων κακόβουλων λογισμικών, ειδικά του modulator backdoor Waterbear (γνωστού και ως DBGPRINT), το οποίο εξελίσσεται συνεχώς από το 2009. Το Waterbear χρησιμοποιεί ένα εύρος μεθόδων για να ελιχθεί ανίχνευσης και ανάλυσης, με την νεότερη εκδοχή του, τον Deuterbear, να περιλαμβάνει δυνατότητες απόκρυψης και αποκρυπτογράφησης δεδομένων μνήμης. Αυτές οι εκδόσεις του κακόβουλου λογισμικού διασπείρονται μέσω ενός downloader, εκτελούνται μέσω διαδικασίας πλευρικής φόρτωσης DLL και προσφέρουν μια ευρεία γκάμα εντολών για απομακρυσμένη πρόσβαση και διαχείριση.

Το Deuterbear, που παρουσιάστηκε το 2022, χρησιμοποιεί το HTTPS για επικοινωνία εντολών και ελέγχου και χρησιμοποιεί μεθόδους συσκότισης για να εμποδίσει την ανάλυση. Τόσο το Waterbear όσο και το Deuterbear ενεργοποιούν διάφορες κακόβουλες δραστηριότητες, όπως χειρισμό διεργασιών, λειτουργίες αρχείων, απομακρυσμένη πρόσβαση, λήψη στιγμιότυπου οθόνης και τροποποιήσεις στο μητρώο των Windows.

Οι τακτικές της BlackTech δεν περιορίζονται μόνο στη δημιουργία ειδικά σχεδιασμένου κακόβουλου λογισμικού και διάφορων εργαλείων, αλλά επεκτείνονται και στη χρήση εξελιγμένων τεχνικών, όπως οι τροποποιήσεις στο firmware των δρομολογητών καθώς και η απενεργοποίηση λειτουργιών καταγραφής, για να κρύβουν τις δραστηριότητές τους. Η ικανότητα της συμμορίας να διατηρείται ενεργή στα δίκτυα βελτιώνεται μέσω της τροποποίησης του firmware και της εκμετάλλευσης προηγμένων δικτυακών συσκευών.