El actor de amenazas patrocinado por el estado chino conocido como Panda de piedra se ha observado que emplea una nueva cadena de infección sigilosa en sus ataques dirigidos a entidades japonesas.
Los objetivos incluyen medios de comunicación, organizaciones diplomáticas, gubernamentales y del sector público y centros de estudios en Japón, según mellizo informes publicado por Kaspersky.
Panda de piedra, también llamado APT10, Bronze Riverside, Cicada y Potassium, es un grupo de ciberespionaje conocido por sus intrusiones contra organizaciones identificadas como estratégicamente significativas para China. Se cree que el actor de amenazas ha estado activo desde al menos 2009.
El último conjunto de ataques, observado entre marzo y junio de 2022, involucra el uso de un archivo falso de Microsoft Word y un archivo de archivo autoextraíble (SFX) en formato RAR propagado a través de correos electrónicos de phishing, lo que lleva a la ejecución de una puerta trasera llamada LODEINFO.
Si bien el maldoc requiere que los usuarios habiliten macros para activar la cadena de eliminación, se descubrió que la campaña de junio de 2022 abandonó este método a favor de un archivo SFX que, cuando se ejecuta, muestra un documento de Word señuelo inofensivo para ocultar las actividades maliciosas.
La macro, una vez habilitada, suelta un archivo ZIP que contiene dos archivos, uno de los cuales («NRTOLF.exe») es un ejecutable legítimo del software K7Security Suite que posteriormente se usa para cargar una DLL no autorizada («K7SysMn1.dll») a través de Carga lateral de DLL.
Dejando a un lado el abuso de la aplicación de seguridad, Kaspersky dijo que también descubrió en junio de 2022 otro método de infección inicial en el que un archivo de Microsoft Word protegido con contraseña actuó como un conducto para entregar un descargador sin archivos denominado DOWNIISSA al habilitar macros.
“La macro incrustada genera el shellcode DOWNIISSA y lo inyecta en el proceso actual (WINWORD.exe)”, dijo la compañía rusa de ciberseguridad.
DOWNIISSA está configurado para comunicarse con un servidor remoto codificado, usándolo para recuperar una carga útil BLOB encriptada de LODEINFO, una puerta trasera capaz de ejecutar shellcode arbitrario, tomar capturas de pantalla y filtrar archivos de vuelta al servidor.
El malware, que se vio por primera vez en 2019, experimentó numerosas mejoras, y Kaspersky identificó seis versiones diferentes en marzo, abril, junio y septiembre de 2022.
Los cambios incluyen técnicas de evasión mejoradas para pasar desapercibido, deteniendo la ejecución en máquinas con el lugar «en_US», revisando la lista de comandos compatibles y ampliando la compatibilidad con la arquitectura Intel de 64 bits.
«El malware LODEINFO se actualiza con mucha frecuencia y continúa atacando activamente a las organizaciones japonesas», concluyeron los investigadores.
«Los TTP actualizados y las mejoras en LODEINFO y el malware relacionado […] indican que el atacante está particularmente enfocado en hacer que la detección, el análisis y la investigación sean más difíciles para los investigadores de seguridad».