Un actor de amenazas previamente indocumentado de origen desconocido ha sido vinculado a ataques dirigidos a telecomunicaciones, proveedores de servicios de Internet y universidades en varios países de Medio Oriente y África.
«Los operadores son muy conscientes de la seguridad de las operaciones, administran una infraestructura cuidadosamente segmentada por víctima y despliegan rápidamente contramedidas complejas en presencia de soluciones de seguridad», investigadores de SentinelOne. dijo en un nuevo informe.
La firma de ciberseguridad nombró en código al grupo. Metador en referencia a una cadena «Soy meta» en una de sus muestras de malware y debido a las respuestas en español de los servidores de comando y control (C2).
Se dice que el actor de amenazas se centró principalmente en el desarrollo de malware multiplataforma en su búsqueda de objetivos de espionaje. Otros sellos distintivos de la campaña son el número limitado de intrusiones y el acceso a largo plazo a los objetivos.
Esto incluye dos plataformas diferentes de malware de Windows llamadas metaMain y Mafalda que están diseñadas expresamente para operar en memoria y eludir la detección. metaMain también actúa como conducto para implementar Mafalda, un implante interactivo flexible que admite 67 comandos.
metaMain, por su parte, es rico en funciones por sí solo, lo que permite al adversario mantener el acceso a largo plazo, registrar pulsaciones de teclas, descargar y cargar archivos arbitrarios y ejecutar shellcode.
En una señal de que sus desarrolladores están manteniendo activamente a Mafalda, el malware obtuvo soporte para 13 nuevos comandos entre dos variantes compiladas en abril y diciembre de 2021, agregando opciones para el robo de credenciales, el reconocimiento de la red y la manipulación del sistema de archivos.
Las cadenas de ataque han involucrado además un malware de Linux desconocido que se emplea para recopilar información del entorno comprometido y canalizarla de regreso a Mafalda. El vector de entrada utilizado para facilitar las intrusiones aún se desconoce.
Además, las referencias en la documentación del comando interno para Mafalda sugieren una clara separación de responsabilidades entre los desarrolladores y los operadores. Sin embargo, en última instancia, la atribución de Metador sigue siendo un «misterio confuso».
«Además, la complejidad técnica del malware y su desarrollo activo sugieren un grupo con buenos recursos capaz de adquirir, mantener y ampliar múltiples marcos», señalaron los investigadores Juan Andres Guerrero-Saade, Amitai Ben Shushan Ehrlich y Aleksandar Milenkoski.