Los ministerios de relaciones exteriores de las Américas han sido atacados por un actor patrocinado por el estado chino llamado Pulga como parte de una campaña reciente que se extendió desde finales de 2022 hasta principios de 2023.
Los ataques cibernéticos, según Symantec de Broadcom, involucraron una nueva puerta trasera con nombre en código Graphican. Algunos de los otros objetivos incluyeron un departamento de finanzas del gobierno y una corporación que comercializa productos en las Américas, así como una víctima no especificada en un país europeo.
«Flea usó una gran cantidad de herramientas en esta campaña», dijo la empresa. dicho en un informe compartido con The Hacker News, que describe al actor de amenazas como «grande y con buenos recursos». «Además de la nueva puerta trasera Graphican, los atacantes aprovecharon una variedad de herramientas para vivir fuera de la tierra, así como herramientas que se han vinculado previamente a Flea».
Flea, también llamado APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (anteriormente Nickel), Playful Taurus, Royal APT y Vixen Panda, es un grupo de amenaza persistente avanzado conocido por atacar a gobiernos, misiones diplomáticas y embajadas desde al menos 2004.
A principios de enero, se atribuyó al grupo a estar detrás de una serie de ataques contra entidades gubernamentales iraníes entre julio y finales de diciembre de 2022.
Luego, el mes pasado, se supo que el gobierno de Kenia había sido señalado en una operación de recopilación de inteligencia de gran alcance de tres años dirigida a ministerios e instituciones estatales clave en el país.
La tripulación del estado-nación también ha estado implicada en múltiples campañas de vigilancia de Android: frijoldeseda y BadBazaar – dirigido a los uigures en la República Popular China y en el extranjero, como lo detalló Lookout en julio de 2020 y noviembre de 2022, respectivamente.
Se dice que Graphican es una evolución de un conocido backdoor de Flea llamado Ketricáncuyas funciones se fusionaron desde entonces con otro implante conocido como Okrum para generar un nuevo malware denominado Ketrum.
El backdoor, a pesar de tener la misma funcionalidad, se diferencia de Ketrican por hacer uso de Microsoft Graph API y OneDrive para obtener los detalles del servidor de comando y control (C&C).
«Las muestras de Graphican observadas no tenían un servidor C&C codificado, sino que se conectaron a OneDrive a través de la API de Microsoft Graph para obtener la dirección del servidor C&C encriptada de una carpeta secundaria dentro de la carpeta «Persona»», dijo Symantec.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
«El malware luego decodificó el nombre de la carpeta y lo usó como un servidor C&C para el malware».
Vale la pena señalar que el abuso de Microsoft Graph API y OneDrive se ha observado previamente en el caso de actores de amenazas rusos y chinos como APT28 (también conocido como Sofacy o Swallowtail) y Bad Magic (también conocido como Red Stinger).
Graphican está equipado para sondear el servidor C&C en busca de nuevos comandos para ejecutar, incluida la creación de una línea de comando interactiva que se puede controlar desde el servidor, descargar archivos al host y configurar procesos encubiertos para recopilar datos de interés.
Una de las otras herramientas notables utilizadas en la actividad comprende una versión actualizada de la puerta trasera EWSTEW para extraer correos electrónicos enviados y recibidos en servidores de Microsoft Exchange violados.
«El uso de una nueva puerta trasera por parte de Flea muestra que este grupo, a pesar de sus largos años de operación, continúa desarrollando activamente nuevas herramientas», dijo Symantec. «El grupo ha desarrollado múltiples herramientas personalizadas a lo largo de los años».
«Las similitudes en la funcionalidad entre Graphican y la conocida puerta trasera de Ketrican pueden indicar que al grupo no le preocupa mucho que se le atribuya actividad».