O grupo de ciberespionagem APT41, apoiado pelo governo chinês, adicionou recentemente ao seu arsenal de malware um loader chamado DodgeBox e uma backdoor denominada MoonWalk, conforme revelou uma pesquisa recente. Também conhecido como Barium, o APT41 é conhecido por seus vínculos com o Ministério da Segurança do Estado da China. Além de suas atividades de espionagem digital, o grupo ocasionalmente se envolve em crimes financeiros, uma prática que, segundo a unidade de segurança Mandiant do Google, serve para financiar suas operações de espionagem.

Segundo a análise técnica publicada por Yin Hong Chang e Sudeep Singh, amostras do DodgeBox foram identificadas sendo enviadas da Tailândia e de Taiwan, conforme revelado pela telemetria disponível no VirusTotal. Esta descoberta é consistente com as estratégias anteriores do APT41, que empregaram o StealthVector em campanhas direcionadas principalmente a usuários na região do Sudeste Asiático (SEA). Em abril, a pesquisa identificou o DodgeBox e comparou suas características ao StealthVector do APT41, observando semelhanças significativas.

O DodgeBox, assim como seu antecessor, é um loader de shellcode escrito em C que pode ser configurado com diversas funcionalidades. Entre essas funcionalidades estão a capacidade de descriptografar e carregar DLLs embutidas, realizar verificações de ambiente e bindings, além de executar procedimentos de limpeza. Essa flexibilidade permite ao APT41 adaptar suas operações conforme necessário, ampliando seu espectro de ataques e dificultando a detecção por soluções de segurança tradicionais.