Una entidad gubernamental en Guyana ha sido atacada como parte de una campaña de ciberespionaje denominada Operación Jacana.
El actividadque fue detectado por ESET en febrero de 2023, supuso un ataque de phishing que llevó al despliegue de un implante hasta ahora no documentado escrito en C++ llamado DinodasRAT.
La firma eslovaca de ciberseguridad dijo que podría vincular la intrusión a un actor o grupo de amenazas conocido, pero lo atribuyó con confianza media a un adversario del nexo con China debido al uso de PlugX (también conocido como Korplug), un troyano de acceso remoto común a los grupos de hackers chinos.
«Esta campaña fue dirigida, ya que los actores de amenazas elaboraron sus correos electrónicos específicamente para atraer a la organización víctima elegida», ESET. dicho en un informe compartido con The Hacker News.
«Después de comprometer con éxito un conjunto inicial pero limitado de máquinas con DinodasRAT, los operadores procedieron a entrar y violar la red interna del objetivo, donde nuevamente desplegaron esta puerta trasera».
La secuencia de infección comenzó con un correo electrónico de phishing que contenía un enlace con una trampa explosiva y un asunto que hacía referencia a un supuesto informe de noticias sobre un fugitivo guyanés en Vietnam.
Si un destinatario hace clic en el enlace, se descarga un archivo ZIP del dominio fta.moit.gov[.]vn, lo que indica un compromiso de un sitio web gubernamental vietnamita para alojar la carga útil.
Incrustado en el archivo ZIP hay un ejecutable que lanza el malware DinodasRAT para recopilar información confidencial de la computadora de la víctima.
DinodasRAT, además de cifrar la información que envía al servidor de comando y control (C2) utilizando el Tiny Encryption Algorithm (TEA), viene con capacidades para filtrar metadatos y archivos del sistema, manipular claves de registro de Windows y ejecutar comandos.
También se implementan herramientas para movimiento lateral, Korplug y el cliente VPN SoftEther, el último de los cuales ha sido utilizado por otro clúster afiliado a China rastreado por Microsoft como Flax Typhoon.
«Los atacantes utilizaron una combinación de herramientas previamente desconocidas, como DinodasRAT, y puertas traseras más tradicionales como Korplug», dijo el investigador de ESET Fernando Tavella.
«A partir de los correos electrónicos de phishing utilizados para obtener acceso inicial a la red de la víctima, los operadores realizan un seguimiento de las actividades geopolíticas de sus víctimas para aumentar la probabilidad de éxito de su operación».