Un grupo de piratería recientemente descubierto conocido por atacar a los empleados que se ocupan de las transacciones corporativas se ha vinculado a una nueva puerta trasera llamada Danfuán.
Este malware hasta ahora no documentado se entrega a través de otro cuentagotas llamado Geppei, investigadores de Symantec, por Broadcom Software, dijo en un informe compartido con The Hacker News.
El cuentagotas «se está utilizando para instalar una nueva puerta trasera y otras herramientas utilizando la técnica novedosa de leer comandos de registros de Servicios de Información de Internet (IIS) aparentemente inocuos», dijeron los investigadores.
La compañía de ciberseguridad atribuyó el conjunto de herramientas a un presunto actor de espionaje llamado UNC3524, también conocido como Cranefly, que salió a la luz por primera vez en mayo de 2022 por su enfoque en la recopilación masiva de correos electrónicos de víctimas que se ocupan de fusiones y adquisiciones y otras transacciones financieras.
Una de las cepas de malware clave del grupo es QUIETEXIT, una puerta trasera implementada en dispositivos de red que no admiten antivirus o detección de puntos finales, como balanceadores de carga y controladores de puntos de acceso inalámbricos, lo que permite al atacante escapar de la detección durante períodos prolongados.
Geppei y Danfuan se suman al armamento cibernético personalizado de Cranefly, y el primero actúa como un cuentagotas al leer comandos de los registros de IIS que se hacen pasar por solicitudes de acceso web inofensivas enviadas a un servidor comprometido.
«Los comandos leídos por Geppei contienen archivos .ashx codificados maliciosos», señalaron los investigadores. «Estos archivos se guardan en una carpeta arbitraria determinada por el parámetro de comando y se ejecutan como puertas traseras».
Esto incluye un shell web llamado regeorgque ha sido utilizado por otros actores como APT28, DeftToreroy Worok, y un malware nunca antes visto denominado Danfuan, que está diseñado para ejecutar el código C# recibido.
Symantec dijo que no ha observado que el actor de amenazas extraiga datos de las máquinas de las víctimas a pesar de un largo tiempo de permanencia de 18 meses en las redes comprometidas.
«El uso de una técnica novedosa y herramientas personalizadas, así como los pasos tomados para ocultar los rastros de esta actividad en las máquinas de las víctimas, indican que Cranefly es un actor de amenazas bastante hábil», concluyeron los investigadores.
«Las herramientas desplegadas y los esfuerzos realizados para ocultar esta actividad […] indican que la motivación más probable para este grupo es la recopilación de inteligencia».