Un actor de amenazas rastreado bajo el apodo Gusano web se ha vinculado a troyanos de acceso remoto personalizados basados en Windows, algunos de los cuales se dice que están en fases previas a la implementación o de prueba.
“El grupo ha desarrollado versiones personalizadas de tres troyanos de acceso remoto (RAT) más antiguos, que incluyen rata troquilo, rata fantasmay 9002 RATA“, el equipo de Symantec Threat Hunter, parte de Broadcom Software, dijo en un informe compartido con The Hacker News.
La firma de ciberseguridad dijo que al menos uno de los indicadores de compromiso (IOC) se utilizó en un ataque contra un proveedor de servicios de TI que opera en varios países asiáticos.
Vale la pena señalar que las tres puertas traseras están asociadas principalmente con actores de amenazas chinos como Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) y Judgment Panda (APT31), entre otros, aunque han sido puesto en uso por otros grupos de piratería.
Symantec dijo que el actor de amenazas Webworm exhibe superposiciones tácticas con otro nuevo colectivo adversario documentado por Positive Technologies a principios de mayo como Piratas espacialesque se encontró atacando a entidades de la industria aeroespacial rusa con malware novedoso.
Space Pirates, por su parte, se cruza con la actividad de espionaje china previamente identificada conocida como Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) y Night Dragon debido al uso compartido de post-explotación. RAT modulares como PlugX y ShadowPad.
Otras herramientas en su arsenal de malware incluyen Zupdax, Deed RAT, una versión modificada de Gh0st RAT conocida como BH_A006 y MyKLoadClient.
Webworm, activo desde 2017, tiene un historial de ataques a agencias gubernamentales y empresas involucradas en servicios de TI, industrias aeroespaciales y de energía eléctrica ubicadas en Rusia, Georgia, Mongolia y varias otras naciones asiáticas.
Las cadenas de ataque implican el uso de malware dropper que alberga un cargador diseñado para lanzar versiones modificadas de los troyanos de acceso remoto Trochilus, Gh0st y 9002. La mayoría de los cambios están destinados a evadir la detección, dijo la firma de ciberseguridad.
“El uso de Webworm de versiones personalizadas de malware más antiguo y, en algunos casos, de código abierto, así como las superposiciones de código con el grupo conocido como Space Pirates, sugieren que pueden ser el mismo grupo de amenazas”, dijeron los investigadores.
“Sin embargo, el uso común de este tipo de herramientas y el intercambio de herramientas entre grupos en esta región pueden oscurecer los rastros de distintos grupos de amenazas, lo que probablemente sea una de las razones por las que se adopta este enfoque, otra de las cuales es el costo, ya que desarrollar sofisticados el malware puede ser costoso en términos de dinero y tiempo”.
About the Author
