Se ha observado que presuntos actores de amenazas impulsados por el espionaje procedentes de Irán despliegan puertas traseras como TWOSTROKE y DEEPROOT como parte de los continuos ataques dirigidos a las industrias aeroespacial, de aviación y de defensa en Oriente Medio.
Mandiant, propiedad de Google, ha atribuido la actividad a un grupo de amenazas rastreado como UNC1549 (también conocido como Nimbus Manticore o Subtle Snail), que era primera documentación por la firma de inteligencia de amenazas a principios del año pasado.
«La UNC1549, que funcionó desde finales de 2023 hasta 2025, empleó vectores de acceso inicial sofisticados, como el abuso de las relaciones con terceros para entrar (pasando de los proveedores de servicios a sus clientes), la ruptura de la VDI por parte de terceros y el phishing muy específico y relevante para los roles», dijeron los investigadores Mohamed El-Banna, Daniel Lee, Mike Stokkel y Josh Goddard.
La revelación se produce unos dos meses después de que la empresa suiza de ciberseguridad PRODAFT atado el grupo de hackers de una campaña dirigida a empresas de telecomunicaciones europeas, que logró atacar a 11 organizaciones en el proceso como parte de un ataque de ingeniería social con temática de contratación a través de LinkedIn.
Las cadenas de infección, según Google, implican una combinación de campañas de suplantación de identidad diseñadas para robar credenciales o distribuir malware y aprovechar las relaciones de confianza con proveedores y socios externos. El segundo enfoque indica una estrategia particularmente inteligente a la hora de atacar a los contratistas de defensa.
Si bien estas organizaciones tienden a tener defensas sólidas, es posible que no sea el caso de los socios externos, un eslabón débil de la cadena de suministro que la UNC1549 utiliza como arma al obtener primero acceso a una entidad conectada para infiltrarse en sus principales objetivos.
A menudo, esto implica abusar de las credenciales asociadas a servicios como Citrix, VMware y Azure Virtual Desktop and Application (VDA) recopiladas de estas entidades externas para establecer un punto de apoyo inicial y, posteriormente, salir de los límites de las sesiones virtualizadas para obtener acceso al sistema host subyacente e iniciar actividades de movimiento lateral dentro de la red de destino.
Otra vía de acceso inicial se refiere al uso de correos electrónicos de suplantación de identidad que afirman estar relacionados con oportunidades laborales para atraer a los destinatarios a hacer clic en enlaces falsos y descargar malware a sus máquinas. También se ha observado que la UNC1549 ataca al personal de TI y a los administradores para obtener credenciales con privilegios elevados que les permitirían un acceso más profundo a la red.
Una vez que los atacantes han encontrado una forma de entrar, la actividad posterior a la explotación abarca el reconocimiento, la recolección de credenciales, el movimiento lateral, la evasión de la defensa y el robo de información, recopilando sistemáticamente documentación de red/TI, propiedad intelectual y correos electrónicos.
Algunas de las herramientas personalizadas que utiliza el actor de amenazas como parte de este esfuerzo se enumeran a continuación:
- MINIMOTO (también conocido como SlugRein), una conocida puerta trasera de C++ que recopila información del sistema y obtiene cargas útiles adicionales para realizar reconocimientos, registrar las pulsaciones de teclas y el contenido del portapapeles, robar credenciales de Microsoft Outlook, recopilar datos de navegadores web de Google Chrome, Brave y Microsoft Edge y tomar capturas de pantalla
- DOS TIEMPOS , una puerta trasera de C++ que permite la recopilación de información del sistema, la carga de DLL, la manipulación de archivos y la persistencia
- RAÍZ PROFUNDA , un backdoor Linux basado en Golang que admite la ejecución de comandos de shell, la enumeración de información del sistema y las operaciones de archivos
- TREN LIGERO , un tunelizador personalizado que probablemente se base en Lastenzug , un proxy Socks4A de código abierto que se comunica mediante la infraestructura de nube de Azure
- LÍNEA FANTASMA , un tunelizador de Windows basado en Golang que utiliza un dominio codificado para su comunicación
- MEZCLA DE ENCUESTAS , un tunelizador de Windows para C++ que usa servidores de comando y control (C2) codificados de forma rígida para registrarse y descargar la configuración del tunelizador
- DCSYNCER.SLICK , una utilidad de Windows basada en Sincronizador DC para llevar a cabo ataques de DCSync para la escalada de privilegios
- PLATAFORMA DE CHOQUE , una utilidad de Windows en C++ para extraer las credenciales guardadas en los navegadores web
- CAPTAR LA VISTA , una utilidad de Windows C, implementada de forma selectiva para capturar capturas de pantalla a intervalos regulares y guardarlas en el disco
- TRAMPA DE CONFIANZA , un malware que muestra un mensaje de Windows para engañar al usuario para que introduzca las credenciales de su cuenta Microsoft
El adversario también utiliza programas disponibles al público, como Explorador de AD para consultar Active Directory; Atelier Web Remote Commander (AWRC) para establecer conexiones remotas, realizar tareas de reconocimiento, robo de credenciales e implementación de malware; y SCCMVNC para control remoto. Además, se dice que el autor de la amenaza tomó medidas para obstaculizar la investigación al eliminar las claves de registro del historial de conexiones RDP.
«La campaña de la UNC1549 se distingue por centrarse en anticipar a los investigadores y garantizar la persistencia a largo plazo tras la detección», dijo Mandiant. «Plantan puertas traseras que vigilan silenciosamente durante meses, y solo las activan para recuperar el acceso después de que la víctima haya intentado erradicarla».
«Mantienen el sigilo y el mando y el control (C2) utilizando extensos proyectiles SSH inversos (que limitan las pruebas forenses) y dominios que imitan estratégicamente la industria de la víctima».
Post generado automaticamente, fuente oficial de la información: THEHACKERNEWS