El grupo de amenazas persistentes avanzadas (APT) llamado HellHounds ha sido rastreado por Positive Technologies en una operación denominada Lahat. La firma de ciberseguridad ha documentado el compromiso de al menos 48 víctimas en Rusia, incluyendo empresas de tecnología de la información, entidades gubernamentales, empresas espaciales y proveedores de telecomunicaciones. Los investigadores revelaron que el grupo utiliza vectores de compromiso desde servicios web vulnerables hasta relaciones de confianza para permanecer indetectable durante años en las redes de las organizaciones seleccionadas.
El grupo HellHounds fue rastreado por primera vez a finales de noviembre de 2023, tras el compromiso de una empresa de energía no identificada con el troyano conocido como Decoy Dog. Existe evidencia de que el actor de amenazas ha estado apuntando a empresas rusas desde al menos 2021, con el desarrollo de malware que se remonta a noviembre de 2019. El troyano Decoy Dog se ha revelado como una variante personalizada del Pupy RAT de código abierto y ha sido utilizado para manipular hosts infectados a través del túnel DNS para el control remoto, permitiendo a los actores de amenazas mantener comunicación con las máquinas comprometidas durante largos periodos de tiempo.
Los ataques con Decoy Dog han estado centrados en Rusia y Europa del Este, específicamente en sistemas Linux. Sin embargo, hay indicios de que podría haber una versión para Windows basados en ciertas referencias en el código. Hallazgos recientes indican que existe una versión similar de Decoy Dog para Windows, que se entrega a hosts críticos a través de un cargador que utiliza una infraestructura dedicada para descifrar la carga útil. Además, los actores de amenazas han hecho uso de una versión modificada de un software de código abierto conocido como 3snake para obtener credenciales en hosts Linux. En al menos dos incidentes, los atacantes lograron acceder a la infraestructura de las organizaciones víctimas a través de un contratista que utilizaba credenciales SSH comprometidas.
Aunque las herramientas utilizadas por HellHounds se basan en proyectos de código abierto, los atacantes han modificado efectivamente el malware para evadir las defensas y mantener una presencia encubierta prolongada dentro de las organizaciones comprometidas.
Vía The Hacker News
