APT as a Service?😃
Premier Pass-as-a-Service — новый формат кибершпионажа

Trend Micro зафиксировала новую модель сотрудничества между multiple China-aligned APT groups — Earth Estries и Earth Naga.
Одна группа предоставляет готовый доступ («Premier Pass»), другая — разворачивает свои инструменты. Это делает шпионские кампании сложнее для атрибуции и детектирования.

⚙️ Формат атаки
• Earth Estries скомпрометировала внутренние веб-сервера и установила CrowDoor (бэкдор через DLL-sideloading).
• Через тот же доступ Estries передала контроль Earth Naga, которая развернула ShadowPad — известный фреймворк для постэксплуатации.
• В сетях жертв фиксировались совместные артефакты: CrowDoor → ShadowPad, общий C2, и одинаковые временные файлы.
• Обе группы параллельно атаковали телеком-операторов, госучреждения и ритейл в APAC и НАТО-регионах.

🧠 Новый тренд от Trend Micro
Исследователи назвали модель Premier Pass-as-a-Service — аналог «доступа как услуги»:

Вместо продажи первичного входа, акторы предоставляют прямой доступ к уже закреплённым активам.

Это сдвигает фокус с Initial Access Brokers на операционные альянсы между APT-группами.
Trend Micro выделила четыре уровня такой кооперации — от случайного пересечения до полного предоставления инфраструктуры («операционного бокса») для другой группы.
Самый продвинутый тип — использование облачных сервисов (например, VSCode Remote Tunnel) как RAT-канала.

🧰 Инструментарий
Earth Estries:
• CrowDoor — DLL-sideload через LogServer.exe → VERSION.dll → зашифрованный shellcode.
• Draculoader — загрузчик shellcode, финальные пейлоады CrowDoor / Cobalt Strike / HEMIGATE.
• Cobalt Strike — lateral movement / payload-доставка.
• Post-exploitation: AnyDesk, EarthWorm (SOCKS5 туннель), Blindsight (LSASS dump с NTFS evasion), кастомный SSP-дампер.
Earth Naga:
• ShadowPad — бэкдор с зашифрованным payload в реестре, загружается через bdreinit.exe → wer.dll.
• Активно атакует гос- и телеком-сектор, Тайвань, APAC, НАТО, Латинскую Америку.

🧩 Что нового заметила Trend Micro
1) Коллаборация вместо одиночных кампаний — группировки действуют как «подрядчики» в единой операции.
2) Смещение стадии совместной работы — обмен происходит на поздних этапах (C2 и постэксплуатация), а не на этапе входа.
3) Роль-модель вместо атрибуции: разделение на разработчиков, провайдеров и операторов.
4) Доказательства общей инфраструктуры — CrowDoor и ShadowPad фиксируются в одной сессии, одних узлах.
5) «Operational box» и облачные туннели — новый способ маскировки C2 и снятия сетевых привязок.

📎 https://www.trendmicro.com/en_us/research/25/j/premier-pass-as-a-service.html
🦔 THF