Los sectores de telecomunicaciones y manufactura de los países de Asia Central y Meridional se han convertido en el objetivo de una campaña en curso que distribuye una nueva variante de un malware conocido llamado Enchufe X (también conocido como Korplug o SOGU).
«Las características de la nueva variante se superponen con las de Día lluvioso y Turiano puertas traseras, incluido el abuso de las mismas aplicaciones legítimas para la carga lateral de DLL, el algoritmo XOR-RC4-RTLDecompressBuffer que se utiliza para cifrar y descifrar las cargas útiles y las claves RC4 utilizadas», dijeron Joey Chen y Takahiro Takeda, investigadores de Cisco Talos dijo en un análisis publicado esta semana.
La empresa de ciberseguridad señaló que la configuración asociada a la variante PlugX difiere significativamente del formato de configuración habitual de PlugX y, en cambio, adopta la misma estructura utilizada en Día lluvioso , una puerta trasera asociada a un actor de amenazas vinculado a China conocido como Lotus Panda (también conocido como Naikon APT). También es probable que Kaspersky lo rastree como Núcleo encontrado y se atribuye a un grupo de amenazas de habla china al que llama Cycldek.
PlugX es un troyano modular de acceso remoto (RAT) ampliamente utilizado por muchos hackeos alineados con China grupos, pero sobre todo por Mustang Panda (también conocido como BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, Temp.hex y Twill Typhoon).
Turiano (también conocido como Quarian o Whitebird), por otro lado, se considera una puerta trasera empleada exclusivamente en los ciberataques dirigidos a Oriente Medio por otro grupo de amenazas persistentes avanzadas (APT) vinculado a China, denominado Diplomacia clandestina (también conocido como Computación en la nube o Faking Dragon).
Los patrones de victimología —en particular el hecho de centrarse en las empresas de telecomunicaciones— y la implementación del malware técnico habían arrojado pruebas que sugerían posibles conexiones entre Lotus Panda y BackdoorDiplomacy, lo que planteaba la posibilidad de que los dos clústeres sean uno y el mismo, o de que obtengan sus herramientas de un proveedor común.
En un incidente detectado por la empresa, se dice que Naikon tuvo como objetivo una empresa de telecomunicaciones en Kazajstán, un país que comparte fronteras con Uzbekistán, que anteriormente había sido señalado por BackDoorDiplomacy. Además, se ha descubierto que ambos equipos de piratas informáticos se concentran en los países del sur de Asia.
Básicamente, las cadenas de ataque implican abusar de un ejecutable legítimo asociado a la aplicación Mobile Popup para descargar una DLL maliciosa que luego se usa para descifrar y lanzar cargas útiles de PlugX, RainyDay y Turian en la memoria. Las recientes oleadas de ataques orquestadas por el autor de la amenaza se han centrado en gran medida en PlugX, que utiliza la misma estructura de configuración que RainyDay e incluye un plugin de registro de pulsaciones integrado.
«Si bien no podemos concluir que exista una conexión clara entre Naikon y BackdoorDiplomacy, hay importantes aspectos que se superponen, como la elección de los objetivos, los métodos de carga útil de cifrado y descifrado, la reutilización de las claves de cifrado y el uso de herramientas compatibles con el mismo proveedor», afirma Talos. «Estas similitudes sugieren un vínculo de confianza medio con un actor de habla china que participó en esta campaña».
Detallan el malware Bookworm de Mustang Panda
La revelación se produce cuando la Unidad 42 de Palo Alto Networks arroja luz sobre el funcionamiento interno del malware Bookworm utilizado por el actor de Mustang Panda. desde 2015 para obtener un amplio control sobre los sistemas comprometidos. La RAT avanzada viene equipada con capacidades para ejecutar comandos arbitrarios, cargar/descargar archivos, filtrar datos y establecer un acceso persistente.
A principios de marzo, el proveedor de ciberseguridad dijo identificó ataques dirigidos a países afiliados a la Asociación de Naciones del Sudeste Asiático (ASEAN) para distribuir el malware.
Bookworm utiliza dominios de aspecto legítimo o infraestructuras comprometidas para fines de C2 a fin de mezclarse con el tráfico de red normal. También se han descubierto algunas variantes del malware con las que comparten solapamientos CONCHA TONAL , una puerta trasera conocida asociada al Mustang Pana desde finales de 2022.
Al igual que PlugX y TONESHELL, las cadenas de ataque que distribuyen Bookworm se basan en la carga lateral de las DLL para ejecutar la carga útil, aunque las variantes más recientes han adoptado una técnica que consiste en empaquetar el código de shell como cadenas de identificador único universal (UUID), que luego se decodifican y ejecutan.
«Bookworm es conocido por su arquitectura modular única, que permite ampliar su funcionalidad principal cargando módulos adicionales directamente desde su servidor de comando y control (C2)», dijo Kyle Wilhoit, investigador de Unit 42 dijo . «Esta modularidad hace que el análisis estático sea más difícil, ya que el módulo Leader depende de otras DLL para proporcionar una funcionalidad específica».
«Este despliegue y adaptación de Bookworm, que se ejecuta en paralelo con otras operaciones de Stately Taurus, demuestra su papel a largo plazo en el arsenal del actor. También apunta a un compromiso sostenido y a largo plazo con su desarrollo y uso por parte del grupo».