El grupo de amenazas persistente avanzada (APT) asociado con China, llamado APT41, ha sido identificado utilizando una versión mejorada de un malware conocido como StealthVector para distribuir una puerta trasera inédita llamada MoonWalk.
Según Zscaler ThreatLabz, la nueva forma de StealthVector, apodada DUSTPAN o DodgeBox, fue descubierta en abril de 2024.
La puerta trasera MoonWalk utiliza técnicas de evasión similares implementadas en DodgeBox y se comunica a través de Google Drive para el control y comando (C2), según los investigadores Yin Hong Chang y Sudeep Singh.
APT41 es conocido como un actor de amenazas respaldado por el estado chino desde al menos 2007, y ha sido referido por otros nombres como Axiom, Blackfly, Brass Typhoon, Bronze Atlas, Earth Baku, entre otros.
En septiembre de 2020, el Departamento de Justicia de EE. UU. anunció el enjuiciamiento de varios actores de amenazas asociados con APT41 por llevar a cabo campañas de intrusión dirigidas a más de 100 empresas a nivel mundial. Estas intrusiones facilitaron el robo de código fuente, datos de clientes, y habilitaron otros esquemas criminales.
En años recientes, APT41 ha estado vinculado a violaciones de redes de gobiernos estatales de EE. UU. y ataques contra organizaciones mediáticas taiwanesas utilizando herramientas de código abierto como Google Command and Control (GC2).
El uso de StealthVector por APT41 fue documentado por Trend Micro en agosto de 2021, describiéndolo como un cargador de shellcode utilizado para entregar Cobalt Strike Beacon y ScrambleCross.
DodgeBox, evaluado como una versión mejorada de StealthVector, utiliza diversas técnicas para evadir la detección, como enmascaramiento de llamadas y carga lateral DLL.
La atribución de DodgeBox a APT41 se deriva de similitudes con StealthVector, además del uso de carga lateral DLL, una técnica ampliamente empleada por grupos con nexos en China para distribuir malware como PlugX.
«DodgeBox es un cargador de malware recién identificado que utiliza múltiples técnicas para evadir la detección estática y conductual», indicaron los investigadores.
Vía The Hacker News
