Un grupo de amenazas vinculado a China llamado APT17 ha sido detectado atacando organizaciones italianas y entidades gubernamentales. Han empleado una variante de malware conocida como 9002 RAT para llevar a cabo dos ataques específicos el 24 de junio y el 2 de julio de 2024. Este análisis fue realizado por TG Soft, una empresa italiana de ciberseguridad, y revelado la semana pasada.
‘
La primera campaña, ocurrida el 24 de junio de 2024, empleó un documento de Office, mientras que la segunda campaña utilizó un enlace como señuelo. En ambos casos, los ataques incitaban a la víctima a descargar un paquete de Skype for Business de un enlace con un dominio similar al del gobierno italiano, lo que resultaba en la infección con una variante del 9002 RAT.
En 2013, Mandiant, una subsidiaria de Google perteneciente a FireEye, documentó las operaciones de ciberespionaje de APT17, denominadas DeputyDog y Ephemeral Hydra, que aprovecharon fallas de día cero en Internet Explorer de Microsoft para atacar objetivos clave.
‘
APT17 también es conocido como Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx y TEMP.Avengers. Asimismo, comparte herramientas con otro actor de amenazas llamado Webworm.
El 9002 RAT, también conocido como Hydraq y McRAT, saltó a la fama durante la Operación Aurora de 2009, dirigida contra Google y otras grandes corporaciones. Este malware también se utilizó en la campaña Sunshop de 2013, en la que los atacantes implantaron redirecciones maliciosas en varios sitios web.
Los ataques más recientes implican el uso de señuelos de spear-phishing para inducir a los destinatarios a descargar un instalador MSI para Skype for Business («SkypeMeeting.msi«). Al ejecutar este paquete, se activa un archivo de Java (JAR) a través de un Visual Basic Script (VBS), lo que instala el software de chat legítimo pero también inicia la ejecución del 9002 RAT.
El 9002 RAT es un troyano modular con capacidades para monitorear el tráfico de la red, capturar pantallas, enumerar archivos, administrar procesos y ejecutar comandos adicionales para el descubrimiento de la red, entre otras funciones.
TG Soft señaló que el malware parece estar evolucionando constantemente con variantes sin disco. Este aspecto puede dificultar su detección, ya que está compuesto por diversos módulos que se activan según las necesidades del ciberatacante.
Vía The Hacker News
