Los investigadores de ciberseguridad han revelado una nueva puerta trasera sigilosa llamada MystrodX que viene con una variedad de funciones para capturar datos confidenciales de sistemas comprometidos.
«MystrodX es un backdoor típico implementado en C++, que admite funciones como la administración de archivos, el reenvío de puertos, la consola inversa y la administración de sockets», QianXin xLab dijo en un informe publicado la semana pasada. «En comparación con las puertas traseras típicas, MystrodX destaca en términos de sigilo y flexibilidad».
MystrodX, también llamado ChronosRat, fue primera documentación por la Unidad 42 de Palo Alto Networks el mes pasado en relación con un grupo de actividades de amenazas llamado CL-STA-0969 que, según dijo, muestra superposiciones con un grupo de ciberespionaje vinculado a China llamado Liminal Panda.
El sigilo del malware se debe al uso de varios niveles de cifrado para ocultar el código fuente y las cargas útiles, mientras que su flexibilidad le permite habilitar de forma dinámica diferentes funciones en función de una configuración, como elegir TCP o HTTP para la comunicación de red u optar por el cifrado de texto plano o AES para proteger el tráfico de red.
MystrodX también admite lo que se denomina modo de activación, lo que le permite funcionar como una puerta trasera pasiva que se puede activar tras la recepción de paquetes de red DNS o ICMP especialmente diseñados del tráfico entrante. Según la fecha de activación establecida en la configuración, hay pruebas que sugieren que el malware puede haber estado presente al menos desde enero de 2024.
«El valor mágico está verificado, MystrodX establece la comunicación con el C2 [comando y control] mediante el protocolo especificado y espera más comandos», dijeron los investigadores de xLab. «A diferencia de las conocidas puertas traseras sigilosas, como SynFul Knock , que manipula los campos de encabezado TCP para ocultar los comandos, MystrodX utiliza un enfoque más simple pero eficaz: oculta las instrucciones de activación directamente en la carga útil de los paquetes ICMP o dentro de los dominios de consulta de DNS».
El malware se entrega mediante un cuentagotas que utiliza una serie de comprobaciones relacionadas con el depurador y las máquinas virtuales para determinar si el proceso actual se está depurando o si se ejecuta en un entorno virtualizado. Una vez completado el paso de validación, se descifra la carga útil de la siguiente etapa. Contiene tres componentes:
- Daytime, un lanzador responsable de lanzar Chargen
- chargen, el componente de puerta trasera de MystrodX, y
- caja ajetreada
MystrodX, una vez ejecutado, monitorea continuamente el proceso diurno y, si no se encuentra en ejecución, lo lanza inmediatamente. Su configuración, que se cifra mediante el algoritmo AES, contiene información sobre el servidor C2, el tipo de puerta trasera y los puertos C2 principales y de respaldo.
«Cuando el tipo de puerta trasera se establece en 1, MystrodX entra en el modo de puerta trasera pasiva y espera un mensaje de activación», afirma xLab. «Cuando el valor del Backdoor Type no es 1, MystrodX entra en el modo de puerta trasera activo y establece la comunicación con el C2 especificado en la configuración, esperando a que se ejecuten los comandos recibidos».