El actor chino de ciberespionaje conocido como Dragón Camaro se ha observado aprovechando una nueva cepa de malware autopropagante que se propaga a través de unidades USB comprometidas.
«Si bien su enfoque principal ha sido tradicionalmente los países del sudeste asiático, este último descubrimiento revela su alcance global y destaca el papel alarmante que juegan las unidades USB en la propagación de malware», dijo Check Point en un nuevo comunicado. investigación compartido con The Hacker News.
La compañía de ciberseguridad, que encontró evidencia de infecciones de malware USB en Myanmar, Corea del Sur, Gran Bretaña, India y Rusia, dijo que los hallazgos son el resultado de un incidente cibernético que investigó en un hospital europeo no identificado a principios de 2023.
La investigación encontró que la entidad no fue atacada directamente por el adversario, sino que sufrió una violación a través de la unidad USB de un empleado, que se infectó cuando se conectó a la computadora de un colega en una conferencia en Asia.
«En consecuencia, al regresar a la institución de atención médica en Europa, el empleado introdujo sin darse cuenta la unidad USB infectada, lo que provocó la propagación de la infección a los sistemas informáticos del hospital», dijo la compañía.
Camaro Dragon comparte similitudes tácticas con los grupos de actividad rastreados como Mustang Panda y LuminousMoth, con la tripulación adversaria recientemente vinculada a una puerta trasera basada en Go llamada TinyNote y un implante de firmware de enrutador malicioso llamado HorseShell.
La última cadena de infección comprende un lanzador de Delphi conocido como HopperTick que se propaga a través de unidades USB y su carga útil principal denominada WispRider, que es responsable de infectar los dispositivos cuando están conectados a una máquina.
«Cuando se inserta una memoria USB benigna en una computadora infectada, el malware detecta un nuevo dispositivo insertado en la PC y manipula sus archivos, creando varias carpetas ocultas en la raíz de la memoria USB», dijeron los investigadores de Check Point.
WispRider, además de infectar el host actual, si no lo ha hecho ya, tiene la tarea de comunicarse con un servidor remoto, comprometer cualquier dispositivo USB recién conectado, ejecutar comandos arbitrarios y realizar operaciones con archivos.
Las variantes selectas de WispRider también funcionan como una puerta trasera con capacidades para eludir una solución antivirus de Indonesia llamada Smadav, así como para recurrir a la carga lateral de DLL mediante el uso de componentes de software de seguridad como G-DATA Total Security.
Otra carga útil posterior a la explotación entregada junto con WispRider es un módulo de robo conocido como monitor de disco (HPCustPartUI.dll) que organiza archivos con extensiones predefinidas (es decir, docx, mp3, wav, m4a, wma, aac, cda y mid) para exfiltración.
Esta no es la primera vez que se observa a los actores de amenazas chinos aprovechando los dispositivos USB como vector de infección para llegar a entornos mucho más allá del alcance de los intereses principales del actor de amenazas.
En noviembre de 2022, Mandiant, propiedad de Google, atribuyó a UNC4191, un actor de amenazas con un presunto nexo con China, a una serie de ataques de espionaje en Filipinas que llevaron a la distribución de malware como MISTCLOAK, DARKDEW y BLUEHAZE.
Un informe posterior de Trend Micro en marzo de 2023 reveló superposiciones entre UNC4191 y Mustang Panda, conectando este último con el uso de MISTCLOAK y BLUEHAZE en campañas de phishing dirigido a países del sudeste asiático.
El desarrollo es una señal de que los actores de amenazas están cambiando activamente sus herramientas, tácticas y procedimientos (TTP) para eludir las soluciones de seguridad, al mismo tiempo que confían en una amplia colección de herramientas personalizadas para filtrar datos confidenciales de las redes de las víctimas.
«El grupo Camaro Dragon APT continúa empleando dispositivos USB como método para infectar sistemas específicos, combinando de manera efectiva esta técnica con otras tácticas establecidas», dijeron los investigadores.