I ricercatori di Unit 42, il threat intelligence team di Palo Alto Networks, hanno recentemente rilevato una nuova variante del malware PingPull utilizzata dagli attori Alloy Taurus, progettata per colpire i sistemi Linux. Seguendo l’infrastruttura sfruttata per questa variante, Unit 42 ha rilevato anche l’uso di un’altra backdoor, identificata come Sword2033. I primi esemplari del malware PingPull risalgono al settembre 2021. Monitorando il suo utilizzo in diverse campagne, nel giugno 2022 Unit 42 ha pubblicato una prima ricerca che ne delinea le funzionalità, attribuendo l’uso dello strumento ad Alloy Taurus.
Operativo almeno dal 2012, Alloy Taurus (alias GALLIUM, Softcell) è considerato un gruppo APT cinese che conduce abitualmente campagne di cyber-spionaggio. Ha storicamente preso di mira società di telecomunicazioni che operano in Asia, Europa e Africa, andando ad ampliare il proprio target negli ultimi anni, includendo istituzioni finanziarie ed enti governativi.