Una campaña de piratería dirigida a organizaciones en Italia, España, Taiwán, Tailandia, Turquía y el Reino Unido ha sido descubierta. El grupo detrás de esta actividad es la prolífica APT41 con sede en China. Mandiant, una subsidiaria de Google, informó que APT41 logró acceder y mantenerse en redes de varias víctimas desde 2023, extrayendo datos sensibles. Este colectivo se distingue por utilizar «malware no público» reservado para operaciones de espionaje que parecen ir más allá de las misiones patrocinadas por el estado.
Las tácticas de ataque incluyen el uso de web shells como ANTSWORD y BLUEBEAM, junto con cargadores personalizados como DUSTPAN y DUSTTRAP, y herramientas de acceso público como SQLULDR2 y PINEGROVE. Las web shells actúan como un conducto para descargar el cargador DUSTPAN, que a su vez carga Cobalt Strike Beacon para la comunicación de comando y control (C2), seguido por el despliegue del cargador DUSTTRAP después del movimiento lateral.
Además, DUSTTRAP se utiliza para descifrar y ejecutar una carga maliciosa en la memoria, estableciendo contacto con un servidor controlado por el atacante o una cuenta comprometida de Google Workspace para ocultar sus actividades.
Google declaró que las cuentas afectadas en Workspace han sido aseguradas para evitar acceso no autorizado, pero no indicó la cantidad exacta de cuentas comprometidas. Las intrusiones también involucraron el uso de SQLULDR2 y PINEGROVE para extraer datos de bases de datos Oracle y exfiltrar grandes volúmenes de datos sensibles desde redes comprometidas utilizando Microsoft OneDrive.
Mandiant ha rastreado los malware DUSTPAN y DUSTTRAP, que corresponden a DodgeBox y MoonWalk, respectivamente, según Zscaler ThreatLabz. Además, identificaron al menos 15 plugins asociados con DUSTTRAP capaces de ejecutar comandos, operaciones de sistema de archivos, capturas de pantalla, e información de sistema. También se observó que estos malware empleaban certificados de firma de código presuntamente robados, uno de los cuales aparentemente estaba relacionado con una empresa de videojuegos surcoreana.
Por otro lado, la empresa de ciberseguridad Sygnia dio a conocer un ataque cibernético llevado a cabo por el grupo Emperador Fantasma de China. Utilizaron un rootkit llamado Demodex, el cual se implanta a través de un archivo de archivo Cabinet (CAB) tras ejecutar un script de lote de Windows. Este rootkit emplea herramientas de código abierto para sortear el mecanismo de aplicación de firma de controladores de Windows, según indicó el investigador Dor Nizar.
Vía The Hacker News
