O grupo APT15, também conhecido como Ke3chang, tem uma longa história de atividades maliciosas desde 2010, e foi inicialmente notado em 2013 durante uma vaga de ataques na Europa.
O backdoor Okrum foi inicialmente detetado em dezembro de 2016 e tem como alvo vários países, como Eslováquia, Bélgica, Chile, Guatemala e Brasil, e acredita-se que esteja a operar fora da China.
O grupo APT continua ativo em 2019 e a atacar o mesmo tipo de alvo, mas utilizando, agora, diferentes conjuntos de ferramentas maliciosas para comprometer os seus alvos.
O Okrum tem um modus operandi semelhante à família de malware Ke3chang (APT15), documentada anteriormente, com um conjunto básico de comandos backdoor.
Os malfeitores associados ao APT15 escondem o payload do okrum dentro de um ficheiro PNG, infectando, assim, a máquina da vítima utilizando steganografia de forma a permanecem despercebidos e evitar detecção por parte de firewalls e antivírus.
Os invasores tentaram ocultar o tráfego malicioso entre o alvo e o C&C através do tráfego normal, registando, por isso, nomes de domínio legítimos e aparentemente normais.
O Okrum é instalado e carregado através de dois componentes diferentes, que são frequentemente alterados por autores de malware para evitar a deteção (ou seja, na tentativa de torná-lo FUD).
According to ESET research, “Okrum is only equipped with basic backdoor commands, such as downloading and uploading files, executing files and shell commands. Most of the malicious activity has to be performed by typing shell commands manually, or by executing other tools and software”
“Researchers believe that the combination of simple backdoor and external tools fully accommodates their needs while being easier to develop, but it may also be an attempt to evade behavioral detection.”
Junto com isso, os investigadores descobriram algumas das ferramentas externas (living of the land), como keyloggers, ferramentas para capturar passwords ou enumerar as sessões de rede.
Com base nos dados de telemetria, os agentes de ameaça empregaram várias técnicas anti-debugging e anti-sandbox para evitar a deteção da ameaça, principalmente contra países como a Eslováquia, Bélgica, Chile, Guatemala, Brasil e Eslováquia.