Una campaña cibernética dirigida a entidades gubernamentales en Medio Oriente y Malasia ha sido detectada por la empresa de ciberseguridad Kaspersky. El grupo conocido como Tropic Trooper ha estado operando desde junio de 2023, centrándose en entidades gubernamentales críticas, especialmente aquellas relacionadas con estudios de derechos humanos en la región.
Kaspersky identificó la actividad en junio de 2024 al encontrar una nueva versión del web shell China Chopper en un servidor web público que alojaba el sistema de gestión de contenidos de código abierto Umbraco. Esta cadena de ataque tenía como objetivo implantar el malware Crowdoor, una variante del backdoor SparrowDoor.
Tropic Trooper, también conocido como APT23, Earth Centaur, KeyBoy y Pirate Panda, ha sido activo desde 2011, con un enfoque en sectores gubernamentales, de atención médica, transporte y alta tecnología en Taiwán, Hong Kong y Filipinas. Se cree que el grupo tiene estrechos vínculos con otro conjunto de intrusiones conocido como FamousSparrow.
La intrusión más reciente destaca la comprensión del web shell China Chopper como un módulo .NET del CMS Umbraco, con una explotación que resulta en la implementación de herramientas de escaneo de redes, movimiento lateral y evasión de defensas, seguido por el despliegue de Crowdoor utilizando técnicas de carga lateral de DLL.
Se sospecha que los web shells se entregan explotando vulnerabilidades en aplicaciones web públicamente accesibles, como Adobe ColdFusion (CVE-2023-26360) y Microsoft Exchange Server (CVE-2021-34473, CVE-2021-34523 y CVE-2021-31207).
Crowdoor, observado por primera vez en junio de 2023, también actúa como un cargador para liberar Cobalt Strike y mantener la persistencia en los hosts infectados, además de ser un backdoor para la recopilación de información confidencial, el lanzamiento de un shell inverso, la eliminación de otros archivos de malware y la terminación propia.
El investigador de seguridad de Kaspersky, Sherif Magdy, subrayó la importancia de esta intrusión, señalando el riesgo de nuevas muestras de malware que podrían ser detectadas en el futuro cercano. Esta observación resalta la amenaza de un actor de habla china que apunta a una plataforma de gestión de contenidos que publicó estudios sobre derechos humanos en Medio Oriente.
Vía The Hacker News
