Před čtyřmi lety útočila skupina Ke3chang APT i v České republice.
Eset objevil nové verze rodin malwaru i dosud neznámý backdoor, za kterými stojí skupina známá jako Ke3chang. Tato skupina podle dostupných informací operuje z Číny.
Předchůdce nově objevené verze backdooru Okrum analytici společnosti Eset poprvé detekovali na konci roku 2016. Okrum byl tehdy použit k útoku na diplomatické mise a vládní instituce Slovenska, Belgie, Brazílie, Chile a Guatemaly. Samotné různé verze malware patřící skupině Ke3chang jsou známy již od roku 2015, kdy byly zachycen i v ČR.
Vyšetřování podle Esetu poskytuje důkazy, které spojují nový backdoor se skupinou Ke3chang. Krom podobných cílů má Okrum obdobný modus operandi jako dřívější malware skupiny. Tak například, Okrum má ve výbavě pouze pár základních příkazů a spoléhá se tak především na manuální zadávání příkazů a podporu externích nástrojů, což je pro útočníky ze skupiny Ke3Chang typické napříč všemi zkoumanými kampaněmi.
Přestože malware není po technické stránce nijak komplexní, obsahuje několik technik určených k obcházení detekční technologií bezpečnostních produktů. Například samotný backdoor byl v pozdějších verzích ukryt do PNG souboru. Kdyby si uživatel takový obrázek otevřel, bez problémů by se zobrazil. Nicméně komponenta Okrumu určená k jeho spuštění byla schopná z obrázku extrahovat potřebný spustitelný kód v podobě dll knihovny. HTTP komunikaci s řídícím serverem se autoři backdooru snažili maskovat napodobováním komunikace webového prohlížeče s na první pohled legitimně pojmenovanými doménami.