Entidades gubernamentales y de telecomunicaciones de alto perfil en Asia han sido atacadas como parte de una campaña en curso desde 2021 que está diseñada para implementar puertas traseras y cargadores básicos para entregar malware de la siguiente etapa.
La empresa de ciberseguridad Check Point está rastreando la actividad bajo el nombre Sobreviviendo. Los objetivos incluyen organizaciones ubicadas en Vietnam, Uzbekistán, Pakistán y Kazajstán.
«La naturaleza simplista de las herramientas […] y su amplia variación sugiere que son desechables, utilizados principalmente para descargar y ejecutar cargas útiles adicionales», dicho en un informe publicado el miércoles. «Estas herramientas no comparten códigos claros con productos creados por actores conocidos y no tienen mucho en común entre sí».
Lo notable de la campaña es que la infraestructura las acciones se superponen con el utilizado por ToddyCat, un actor de amenazas vinculado a China conocido por orquestar ataques cibernéticos contra agencias gubernamentales y militares en Europa y Asia desde al menos diciembre de 2020.
Las cadenas de ataques comienzan con un correo electrónico de phishing que contiene un archivo ZIP adjunto con un ejecutable legítimo que aprovecha la carga lateral de DLL para cargar una puerta trasera llamada CurKeep mediante una DLL maliciosa dal_keepalives.dll presente en el archivo.
CurlKeep está diseñado para enviar información sobre el host comprometido a un servidor remoto, ejecutar comandos enviados por el servidor y escribir respuestas del servidor en un archivo del sistema.
Un examen más detenido de la infraestructura de comando y control (C2) ha revelado un arsenal en constante evolución de variantes de cargador denominadas CurLu, CurCore y CurLog que son capaces de recibir archivos DLL, ejecutar comandos remotos e iniciar un proceso asociado con una nueva Archivo generado en el que se escriben los datos del servidor.
También se descubrió un implante pasivo llamado StylerServ que escucha en cinco puertos diferentes (60810, 60811, 60812, 60813 y 60814) para aceptar una conexión remota y recibir un archivo de configuración cifrado.
Si bien no hay evidencia concluyente que conecte Stayin’ Alive con ToddyCat, los hallazgos muestran que ambos conjuntos de intrusiones utilizan la misma infraestructura para perseguir un conjunto similar de objetivos.
«El uso de cargadores y descargadores desechables, como se observa en esta campaña, se está volviendo más común incluso entre actores sofisticados», afirmó Check Point. «El uso de herramientas desechables dificulta los esfuerzos de detección y atribución, ya que se reemplazan con frecuencia y posiblemente se escriben desde cero».