Un actor de amenazas de habla china llamado Escarabajo se ha vinculado a una puerta trasera personalizada denominada Sugerencia de encabezado como parte de una campaña dirigida a Ucrania desde que Rusia se embarcó en una invasión el mes pasado, lo que la convirtió en el segundo grupo de piratería con sede en China después de Mustang Panda en capitalizar el conflicto.
«La actividad maliciosa representa uno de los primeros ejemplos públicos de un actor de amenazas chino que apunta a Ucrania desde que comenzó la invasión», dijo el investigador de SentinelOne, Tom Hegel. dijo en un informe publicado esta semana.
El análisis de SentinelOne sigue a un aviso del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) a principios de esta semana. esbozando una campaña de spear-phishing que conduce a la entrega de un archivo RAR, que viene con un ejecutable que está diseñado para abrir un archivo señuelo mientras deja caer sigilosamente una DLL maliciosa llamada HeaderTip en segundo plano.
escarabajo era documentado por primera vez por Symantec Threat Hunter Team, parte de Broadcom Software, en enero de 2015, cuando detalló ataques altamente dirigidos contra personas de habla rusa desde al menos enero de 2012 para implementar una puerta trasera llamada Scieron.
«Si los atacantes comprometen con éxito las computadoras de las víctimas, entonces usan una amenaza de puerta trasera básica llamada Trojan.Scieron para colocar Trojan.Scieron.B en la computadora», señalaron los investigadores de Symantec en ese momento. «Trojan.Scieron.B tiene un componente similar a un rootkit que oculta parte de su actividad de red y presenta una funcionalidad de puerta trasera más mejorada».
Las conexiones de HeaderTip con Scarab provienen del malware y la infraestructura se superpone a la de Scieron, con SentinelOne llamando a este último un predecesor de la puerta trasera recién descubierta. Diseñado como un archivo DLL de 32 bits y escrito en C++, HeaderTip tiene un tamaño de 9,7 KB y su funcionalidad se limita a actuar como un paquete de primera etapa para obtener módulos de próxima etapa desde un servidor remoto.
«Con base en objetivos conocidos desde 2020, incluidos los contra Ucrania en marzo de 2022, además del uso específico del idioma, evaluamos con confianza moderada que Scarab habla chino y opera con fines de recopilación de inteligencia geopolítica», dijo Hegel.