Los actores de amenazas detrás del malware HiatusRAT han regresado de su pausa con una nueva ola de actividad de reconocimiento y focalización dirigida a organizaciones con sede en Taiwán y un sistema de adquisición militar de EE. UU.
Además de recopilar muestras de malware para diferentes arquitecturas, se dice que los artefactos se alojaron en nuevos servidores privados virtuales (VPS), Lumen Black Lotus Labs. dicho en un informe publicado la semana pasada.
La firma de ciberseguridad describió el grupo de actividad como “descarado” y “uno de los más audaces”, lo que indica que no hay signos de desaceleración. La identidad y el origen de los actores de la amenaza se desconocen actualmente.
Los objetivos incluían empresas comerciales, como fabricantes de semiconductores y productos químicos, y al menos una organización del gobierno municipal en Taiwán, así como un servidor del Departamento de Defensa de los EE. UU. (DoD) asociado con el envío y la recuperación de propuestas para contratos de defensa.
La empresa de ciberseguridad reveló por primera vez que HiatusRAT tenía como objetivo enrutadores de nivel empresarial para espiar de forma encubierta a las víctimas ubicadas principalmente en América Latina y Europa como parte de una campaña que comenzó en julio de 2022.
Se infectaron hasta 100 dispositivos de redes perimetrales en todo el mundo para recopilar tráfico de forma pasiva y transformarlos en una red proxy de infraestructura de comando y control (C2).
El último conjunto de ataques, observado desde mediados de junio hasta agosto de 2023, implica el uso de binarios HiatusRAT preconstruidos diseñados específicamente para arquitecturas Arm, Intel 80386 y x86-64, junto con MIPS, MIPS64 e i386.
Un análisis de telemetría para determinar las conexiones realizadas al servidor que aloja el malware ha revelado que “más del 91 % de las conexiones entrantes procedían de Taiwán, y parecía haber una preferencia por los dispositivos periféricos fabricados por Ruckus”.
La infraestructura de HiatusRAT consta de servidores de reconocimiento y carga útil, que se comunican directamente con las redes de las víctimas. Estos servidores están controlados por servidores de nivel 1 que, a su vez, son operados y administrados por servidores de nivel 2.
Se ha identificado que los atacantes utilizan dos direcciones IP diferentes 207.246.80[.]240 y 45.63.70[.]57 para conectarse al servidor DoD el 13 de junio durante aproximadamente dos horas. Se estima que se transfirieron 11 MB de datos bidireccionales durante el período.
No está claro cuál es el objetivo final, pero se sospecha que el adversario puede haber estado buscando información disponible públicamente relacionada con contratos militares actuales y futuros para futuros objetivos.
La selección de activos perimetrales como los enrutadores se ha convertido en un patrón en los últimos meses, con actores de amenazas asociados con China vinculados a la explotación de fallas de seguridad en dispositivos Fortinet y SonicWall sin parches para establecer una persistencia a largo plazo dentro de los entornos de destino.
“A pesar de las revelaciones previas de herramientas y capacidades, el actor de amenazas tomó los pasos más pequeños para cambiar los servidores de carga útil existentes y continuó con sus operaciones, sin siquiera intentar reconfigurar su infraestructura C2”, dijo la compañía.
About the Author
