En la región Asia-Pacífico, varios sectores de tecnología, investigación y gobierno han sido blanco de ataques cibernéticos perpetrados por el actor de amenazas conocido como BlackTech. Las intrusiones allanan el camino para una nueva versión del troyano modular Waterbear, así como para su versión mejorada, denominada Deuterbear.
Waterbear, que ha sido utilizado desde 2009, es conocido por su complejidad y utiliza diversos mecanismos para evadir la detección y el análisis. La firma de ciberseguridad Trend Micro ha señalado que la versión más reciente de este troyano es diferente del original, ya que incluye rutinas de escaneo y descifrado de memoria anti.
La herramienta principal del arsenal multifacético de BlackTech es Waterbear (también conocido como DBGPRINT), que ha sido actualizado constantemente a lo largo de los años con mejores características de evasión de defensa. Esta última versión admite cerca de 50 comandos, lo que le permite realizar una amplia variedad de actividades, como la terminación de procesos, la gestión de archivos y ventanas, y la modificación del registro de Windows, entre otras tareas.
Deuterbear, que se presenta como una nueva variante de Waterbear, utiliza HTTPS para las comunicaciones C2 y implementa varias actualizaciones en la ejecución del malware, como la verificación de depuradores o sandbox y la modificación de los protocolos de tráfico.
Trend Micro señala que Earth Hundun ha evolucionado y refinado continuamente el troyano Waterbear, así como sus muchas variantes y ramas desde 2009. Se sabe que Earth Hundun está activo desde al menos 2007 y es conocido por otros nombres como Circuit Panda, HUAPI, Manga Taurus, Palmerworm, Red Djinn y Temp.Overboard.
Los gobiernos de Japón y Estados Unidos atribuyen a BlackTech a China y describen su capacidad para modificar el firmware de routers y aprovechar las relaciones de confianza de dominio para pivotar desde subsidiarias internacionales hasta sedes corporativas. Además, los actores de BlackTech utilizan malware personalizado, herramientas de doble uso y tácticas de vivir en la naturaleza, como desactivar el registro en los routers, para ocultar sus operaciones.
Vía The Hacker News