Daxin, intern als „srt64.sys“ bezeichnet, war erstmals im März 2022 von der zu Broadcom gehörenden Sicherheitsfirma Symantec dokumentiert worden. Die damaligen Erkenntnisse deuteten darauf hin, dass die Malware seit 2013 in gezielten Angriffen auf Behörden und andere Ziele aus dem Bereich kritischer Infrastruktur eingesetzt wurde. Die neuen Funde aus Taiwan belegen nun nach Einschätzung von Symantec und Carbon Black, dass das Werkzeug weiterhin aktiv ist.
Zusätzlich zu Daxin entdeckten die Forscher auf demselben System die Backdoor Stupig, die als „a.dll“ oder „kbdus1.dll“ auftritt. Der Dateiname soll offenbar die legitime Microsoft-DLL „kbdus.dll“ nachahmen, die zum US-englischen Tastaturlayout gehört. Broadcom zufolge verwendet Stupig eine Technik, die in keiner bekannten Malware-Familie dokumentiert wurde: Eine trojanisierte Tastaturlayout-DLL wird über „winlogon.exe“ geladen und ermöglicht es Angreifern, direkt vom Windows-Anmeldebildschirm aus System-Befehle auszuführen.
Technisch erreicht Stupig seine Persistenz, indem es sich als Anbieter eines Tastaturlayouts registriert. Dadurch lädt „win32k.sys“ die DLL beim Systemstart in „winlogon.exe“. Nach Angaben des Threat-Hunter-Teams liefert die DLL einen gültigen „KBDTABLES“-Zeiger zurück, sodass das Tastaturlayout normal funktioniert und weder für Prozesse noch für Administratoren beim Prüfen des geladenen Moduls auffällig wird.
Sobald Stupig innerhalb von „winlogon.exe“ aktiv ist, überwacht es den Windows-Anmeldebildschirm auf Benutzernamen, die mit der Zeichenfolge „stupig“ beginnen. Alles, was nach diesem Präfix eingegeben wird, interpretiert die Malware als Befehl und führt ihn mit SYSTEM-Rechten aus. Falls hinter dem Präfix kein Befehl folgt, startet sie stattdessen eine Eingabeaufforderung mit SYSTEM-Rechten direkt auf dem Anmeldebildschirm.
Auch Daxin selbst fällt durch seine ungewöhnliche Kommunikationsmethode auf. Statt eigene ausgehende Verbindungen zu einer von Angreifern kontrollierten Infrastruktur aufzubauen, überwacht der Kernel-Treiber eingehenden TCP-Verkehr auf bestimmte Muster und kapert bestehende legitime Verbindungen für verschlüsselte Kommando-und-Kontroll-Kommunikation. Broadcom zufolge sollte die Kommunikation so im normalen Datenverkehr untergehen. Die Malware unterstützt außerdem Mehrsprung-Kommunikation über Ketten infizierter Systeme und kann dadurch auch Rechner erreichen, die physisch vom Internet getrennt sind.
Genau wann und auf welchem Weg der betroffene Host kompromittiert wurde, ist laut den Forschern unbekannt. Als möglicher Ausgangspunkt gilt jedoch eine veraltete Version des Digiwin-Single-Sign-on-Portals, auf der nicht mehr unterstützte Installationen von Java Development Kit 1.5 und 1.6 aus den Jahren 2009 bis 2011 liefen.
Code-Überschneidungen zwischen Daxin und Stupig fanden Symantec und Carbon Black nicht. Dennoch halten sie einen gemeinsamen Urheber für möglich, weil beide Werkzeuge auf demselben Host eingesetzt wurden, sich funktional ergänzen, Ähnlichkeiten in den Entwicklungspraktiken zeigen und dieselben Kompilierungszeitstempel aus dem frühen Jahr 2013 tragen. Ob tatsächlich dieselben Akteure beide Werkzeuge ausgebracht haben, lasse sich aber nicht bestätigen.
Im Zusammenhang mit China-nahen Aktivitäten verweist der Bericht zudem auf Hunt.io. Das Unternehmen beobachtete nach eigenen Angaben einen mutmaßlich China-verbundenen Akteur, der die Modelle Claude Code von Anthropic und DeepSeek nutzte, um Angriffe auf Regierungs- und Finanzsysteme in Afghanistan, Thailand, Taiwan und den USA zu automatisieren. Grundlage dieser Einschätzung ist ein offenes Verzeichnis unter „112.213.124[.]132“, das laut Hunt.io identische HTTP-Header-Fingerabdrücke wie bekannte TencShell-C2-Infrastruktur aufweist. Die Bedrohungsforscher schreiben, die Modelle hätten Schlussfolgerungen für Umgehungstechniken geliefert, Exploits nach fehlgeschlagenen Versuchen überarbeitet und Phishing-Seiten zum Abgreifen von Zugangsdaten erstellt.
