Se han descubierto superposiciones tácticas y de objetivos entre la enigmática amenaza persistente avanzada (APT) llamada hombre de arena y un grupo de amenazas con sede en China que se sabe que utiliza una puerta trasera conocida como KEYPLUG.
La evaluación proviene conjuntamente de SentinelOne, PwC y el equipo de Microsoft Threat Intelligence basándose en el hecho de que se ha determinado que el malware basado en Lua del adversario, LuaDream y KEYPLUG, cohabitan «en las mismas redes de víctimas».
Microsoft y PwC están rastreando la actividad bajo los nombres Storm-0866 y Red Dev 40, respectivamente.
«Sandman y Storm-0866/Red Dev 40 comparten prácticas de gestión y control de infraestructura, incluidas selecciones de proveedores de alojamiento y convenciones de nombres de dominio, las empresas dicho en un informe compartido con The Hacker News.
«La implementación de LuaDream y KEYPLUG revela indicadores de prácticas de desarrollo compartidas y superposiciones en funcionalidades y diseño, lo que sugiere requisitos funcionales compartidos por sus operadores».
Descifrando el código: aprenda cómo los ciberatacantes explotan la psicología humana
¿Alguna vez te has preguntado por qué la ingeniería social es tan eficaz? Profundice en la psicología de los ciberatacantes en nuestro próximo seminario web.
Sandman fue expuesto por primera vez por SentinelOne en septiembre de 2023, detallando sus ataques a proveedores de telecomunicaciones en Medio Oriente, Europa occidental y el sur de Asia utilizando un novedoso implante con nombre en código LuaDream. Las intrusiones se registraron en agosto de 2023.
Storm-0866/Red Dev 40, por otro lado, se refiere a un grupo APT emergente que destaca principalmente entidades en el Medio Oriente y el subcontinente del sur de Asia, incluidos proveedores de telecomunicaciones y entidades gubernamentales.
Una de las herramientas clave en el arsenal de Storm-0866 es KEYPLUG, una puerta trasera que fue revelada por primera vez por Mandiant, propiedad de Google, como parte de los ataques organizados por el actor APT41 (también conocido como Brass Typhoon o Barium) con sede en China para infiltrarse en seis redes gubernamentales estatales de EE. UU. entre mayo de 2021 y febrero de 2022.
En un informe publicado a principios de marzo, Recorded Future atribuyó el uso de KEYPLUG a un grupo de actividad de amenazas patrocinado por el estado chino que está rastreando como RedGolf, que, según dijo, «se superpone estrechamente con la actividad de amenazas reportada bajo los alias de APT41/BARIUM».
«Un examen minucioso de la implementación y la infraestructura C2 de estas distintas cepas de malware reveló indicadores de desarrollo compartido, así como prácticas de gestión y control de infraestructura, y algunas superposiciones en funcionalidades y diseño, lo que sugiere requisitos funcionales compartidos por sus operadores», señalaron las empresas. .
Una de las superposiciones notables son dos dominios LuaDream C2 llamados «dan.det-ploshadka[.]com» y «ssl.e-novauto[.]com», que también se ha utilizado como servidor KEYPLUG C2 y que se ha vinculado a Storm-0866.
Otro punto en común interesante entre LuaDream y KEYPLUG es que ambos implantes admiten protocolos QUIC y WebSocket para comunicaciones C2, lo que indica requisitos comunes y la probable presencia de un intendente digital detrás de la coordinación.
«El orden en el que LuaDream y KEYPLUG evalúan el protocolo configurado entre HTTP, TCP, WebSocket y QUIC es el mismo: HTTP, TCP, WebSocket y QUIC en ese orden», dijeron los investigadores. «Los flujos de ejecución de alto nivel de LuaDream y KEYPLUG son muy similares».
La adopción de Lua es otra señal de que los actores de amenazas, tanto alineados con el Estado-nación como centrados en el cibercrimen, están poniendo cada vez más sus miras en lenguajes de programación poco comunes como DLang y nim para evadir la detección y persistir en los entornos de las víctimas durante largos períodos de tiempo.
El malware basado en Lua, en particular, se ha detectado sólo un puñado de veces en la última década. Esto incluye Flame, Animal Farm (también conocido como SNOWGLOBE) y Project Sauron.
«Existen fuertes superposiciones en la infraestructura operativa, los objetivos y los TTP que asocian el Sandman APT con adversarios con sede en China que utilizan la puerta trasera KEYPLUG, STORM-0866/Red Dev 40 en particular», dijeron los investigadores. «Esto pone de relieve la compleja naturaleza del panorama de amenazas chino».