Investigadores de ciberseguridad han identificado un troyano de acceso remoto (RAT) conocido como Deuterbear, utilizado por el grupo de piratería BlackTech vinculado a China en una campaña de ciberespionaje dirigida a Asia-Pacífico.
El análisis de Trend Micro destaca que Deuterbear, similar a Waterbear en muchos aspectos, muestra avances en capacidades, como soporte para plugins de shellcode y el uso de HTTPS para comunicación C&C, evitando apretones de manos.
BlackTech, también conocido como Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn y Temp.Overboard, ha estado usando el malware Waterbear durante casi 15 años, aunque desde octubre de 2022 han empleado una versión actualizada llamada Deuterbear.
El troyano Waterbear se entrega a través de un ejecutable legítimo parcheado, lo cual aprovecha la carga lateral de DLL para descargar e implementar RAT. A su vez, el modulo RAT se descarga dos veces para establecer persistencia y robar información sensible.
Por su parte, Deuterbear, en su segunda etapa, utiliza un cargador para buscar el RAT, establecer persistencia y descargar otro componente de troyano para robo de información, protegiendo así sus rastros del análisis de investigadores y entornos simulados.
En paralelo, Proofpoint ha revelado una campaña cibernética altamente dirigida, desplegando el malware SugarGh0st RAT para atacar organizaciones estadounidenses involucradas en esfuerzos de inteligencia artificial.
El SugarGh0st RAT ha sido históricamente utilizado para atacar usuarios en Asia Central y del Este. Atribuido a un actor de amenazas de habla china, se ha observado que estos ataques utilizan mensajes de phishing y dropper de JavaScript para desplegar la carga útil del malware.
Además, existe la teoría de que esta campaña específica puede estar relacionada con el robo de información no pública sobre inteligencia artificial generativa (GenAI) en un intento de promover los objetivos de desarrollo chinos al restringir el acceso a tecnologías de IA.
Vía The Hacker News
