Al menos dos institutos de investigación ubicados en Rusia y un tercer objetivo probable en Bielorrusia han sido objeto de un ataque de espionaje por parte de una amenaza persistente avanzada (APT) del estado-nación chino.
Los ataques, con nombre en código «Panda retorcidovienen en el contexto de la invasión militar rusa de Ucrania, lo que llevó a una amplia gama de actores de amenazas a adaptar rápidamente sus campañas en el conflicto en curso para distribuir malware y organizar ataques oportunistas.
Se han materializado en forma de esquemas de ingeniería social con cebos temáticos de guerra y sanciones orquestados para engañar a las víctimas potenciales para que hagan clic en enlaces maliciosos o abran documentos armados.
La empresa israelí de ciberseguridad Check Point, que revelado Los detalles de la última operación de recopilación de inteligencia, lo atribuyeron a un actor de amenazas chino, con conexiones con Stone Panda (también conocido como APT 10, Cicada o Potassium) y Mustang Panda (también conocido como Bronze President, HoneyMyte o RedDelta).
Llamándolo una continuación de «una operación de espionaje de larga duración contra entidades relacionadas con Rusia que ha estado en funcionamiento desde al menos junio de 2021», se dice que los rastros más recientes de la actividad se observaron en abril de 2022.
Los objetivos incluían dos instituciones de investigación de defensa pertenecientes al conglomerado de defensa estatal ruso Rostec Corporation y una entidad desconocida ubicada en la ciudad bielorrusa de Minsk.
Los ataques de phishing comenzaron con correos electrónicos que contienen un enlace que se hace pasar por el Ministerio de Salud de Rusia, pero en realidad es un dominio controlado por el atacante, así como un documento de Microsoft Word señuelo diseñado para desencadenar la infección y descargar un cargador.
La DLL de 32 bits («cmpbk32.dll»), además de establecer la persistencia mediante una tarea programada, también se encarga de ejecutar un cargador multicapa de segunda etapa, que posteriormente se desempaqueta para ejecutar el payload final en memoria.
La carga útil inyectada, una puerta trasera previamente no documentada llamada Spinner, utiliza técnicas sofisticadas como aplanamiento del flujo de control para ocultar el flujo del programa, previamente identificado como puesto en uso por ambos Panda de piedra y Mustang Panda en sus ataques.
«Estas herramientas están en desarrollo desde al menos marzo de 2021 y utilizan técnicas avanzadas de evasión y antianálisis, como cargadores en memoria de múltiples capas y ofuscaciones a nivel de compilador», dijo Check Point.
A pesar de su compleja estructura de código, Spinner es un implante básico que solo está equipado para enumerar hosts comprometidos y ejecutar cargas útiles adicionales recuperadas de un servidor remoto.
Check Point señaló que su investigación también reveló una variante anterior de la puerta trasera que se distribuye de manera similar, lo que indica que la campaña ha estado activa desde junio de 2021 según las marcas de tiempo de compilación de los ejecutables.
Pero en un giro interesante, mientras que la versión anterior no incorpora los métodos de ingeniería antirreversa, lo compensa con características adicionales que faltan en Spinner, incluida la capacidad de enumerar y manipular archivos, filtrar datos valiosos y ejecutar operaciones. comandos del sistema y cargas útiles descargadas arbitrariamente.
“En menos de un año, los actores mejoraron significativamente la cadena de infección y la hicieron más compleja”, dijeron los investigadores. «Se conservó toda la funcionalidad de la campaña anterior, pero se dividió entre varios componentes, lo que dificultaba el análisis o la detección de cada etapa».
«La evolución de las herramientas y técnicas a lo largo de este período de tiempo indica que los actores detrás de la campaña persisten en lograr sus objetivos de manera sigilosa».