Säkerhetsforskare vid Kaspersky rapporterar att en zero day-sårbarhet som Microsoft patchade i tisdags ska använts av den kinesiska hackargruppen Ironhusky sedan i augusti.

Gruppen har varit aktiv sedan 2012 och genomfört cyberspionage sedan 2017. I den här senaste kampanjen har de gett sig på it-företag, leverantörer till försvarsmakten och diplomater genom att utnyttja den tidigare okända sårbarheten (CVE-2021-4044) i Windows Graphics Device Interface (GDI).

Sårbarheten påverkar samtliga versioner av Windows sedan Vista och gör att kod kan köras med systemprivilegier. Kaspersky ska dock bara sett den köras på Windows-servrar. Sårbarheten har inte heller använts av hackarna för att ta sig in på ett system från första början.

Hackarna använde systemprivilegierna för att köra en remote shell Trojan (RAT) som Kaspersky givit namnet MysterySnail. Skadeprogrammet kan användas för att köra Windows shell-kommandon och samla in information om diskar och mappar samt läsa, ladda upp och radera filer, stänga av processer, med mera.

Läs också: Cyberkriminella i Nederländerna kommer undan med en varning