Una amenaza persistente avanzada (APT) de habla china se ha vinculado a una nueva campaña dirigida a empresas relacionadas con los juegos de azar en el sudeste asiático, en particular Taiwán, Filipinas y Hong Kong.
La firma de ciberseguridad Avast denominó la campaña Operación Enroque de Dragones, describiendo su arsenal de malware como un «conjunto de herramientas robusto y modular». Los motivos finales del actor de la amenaza aún no se pueden discernir de inmediato ni se ha relacionado con un grupo de piratería conocido.
Si bien se emplearon múltiples vías de acceso inicial durante el curso de la campaña, uno de los vectores de ataque implicó aprovechar una falla de ejecución remota de código previamente desconocida en la suite WPS Office (CVE-2022-24934) a la puerta trasera de sus objetivos. Desde entonces, el problema ha sido abordado por Kingsoft Office, los desarrolladores del software de oficina.
En el caso observado por la empresa de seguridad checa, la vulnerabilidad se utilizó para eliminar un binario malicioso de un servidor de actualización falso con el dominio update.wps[.]cn que desencadena una cadena de infección de varias etapas que conduce al despliegue de cargas útiles intermedias que permiten la escalada de privilegios antes de finalmente eliminar el módulo Proto8.
«El módulo principal es una sola DLL que es responsable de configurar el directorio de trabajo del malware, cargar archivos de configuración, actualizar su código, cargar complementos, balizar a [command-and-control] servidores y esperando comandos», dijeron los investigadores de Avast Luigino Camastra, Igor Morgenstern, Jan Holman.
El sistema basado en complementos de Proto8 que se usa para ampliar su funcionalidad permite que el malware logre persistencia, omita el control de la cuenta de usuario (UAC), crear nuevas cuentas de puerta trasera e incluso ejecutar comandos arbitrarios en el sistema infectado.