Se ha desplegado una herramienta de espionaje previamente no documentada contra gobiernos seleccionados y otros objetivos de infraestructura crítica como parte de una campaña de espionaje de larga duración orquestada por actores de amenazas vinculados a China desde al menos 2013.
El equipo Symantec Threat Hunter de Broadcom caracterizó la puerta trasera, denominada Daxincomo un malware tecnológicamente avanzado, que permite a los atacantes llevar a cabo una variedad de comunicaciones y operaciones de recopilación de información dirigidas a entidades de los sectores de telecomunicaciones, transporte y manufactura que son de interés estratégico para China.
«El malware Daxin es una puerta trasera de rootkit altamente sofisticada con una funcionalidad compleja y sigilosa de comando y control (C2) que permite a los actores remotos comunicarse con dispositivos seguros que no están conectados directamente a Internet», dijo la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) dijo en una asesoría independiente.
El implante adopta la forma de un controlador del kernel de Windows que implementa un elaborado mecanismo de comunicación que le otorga al malware un alto grado de sigilo y la capacidad de comunicarse con máquinas que están físicamente desconectadas de Internet.
Lo logra evitando expresamente lanzar sus propios servicios de red, optando en su lugar por aprovechar los servicios legítimos. TCP/IP servicios que ya se están ejecutando en las computadoras infectadas para combinar sus comunicaciones con el tráfico normal en la red del objetivo y recibir comandos de un par remoto.
«Estas características recuerdan a Regin», señalaron los investigadores, refiriéndose a otro sofisticado kit de herramientas de malware y piratería atribuido a la Agencia de Seguridad Nacional de EE. UU. (NSA) por operaciones de espionaje del gobierno en 2014.
Entre los aspectos inusuales de Daxin, además de no generar tráfico de red sospechoso para pasar desapercibido, se encuentra su capacidad para transmitir comandos a través de una red de computadoras infectadas dentro de la organización atacada, creando un «canal de comunicaciones de múltiples nodos» que permite el acceso recurrente a los equipos comprometidos. computadoras por largos periodos de tiempo.
Si bien se dice que las intrusiones recientes relacionadas con la puerta trasera ocurrieron en noviembre de 2021, Symantec dijo que descubrió similitudes a nivel de código con una pieza de malware más antigua llamada Exforel (también conocido como Zala), lo que indica que Daxin puede haber sido construido por un actor con acceso al código base de este último o que son el trabajo del mismo grupo.
Las campañas no se han atribuido a un solo adversario, pero una cronología de los ataques muestra que Daxin se instaló en algunos de los mismos sistemas donde se encontraron herramientas asociadas con otros actores de espionaje chinos como Slug. Esto incluye el despliegue de Daxin y Owprox malware en una sola computadora perteneciente a una empresa de tecnología en mayo de 2020.
«Daxin es sin duda la pieza de malware más avanzada […] utilizado por un actor vinculado a China», dijeron los investigadores. «Teniendo en cuenta sus capacidades y la naturaleza de sus ataques desplegados, Daxin parece estar optimizado para su uso contra objetivos reforzados, lo que permite a los atacantes excavar profundamente en la red de un objetivo y filtrar datos sin levantando sospechas».
La divulgación llega una semana después de que Pangu Lab, con sede en China, revelara una puerta trasera de «primer nivel» llamada Bvp47 que la Agencia de Seguridad Nacional de EE. Japón, Alemania, España, India y México.