Investigadores de ciberseguridad han descubierto una versión actualizada de una puerta trasera llamada LODEINFO que se distribuye mediante ataques de phishing.
Los hallazgos provienen de la empresa japonesa ITOCHU Cyber & Intelligence, que dicho el malware “ha sido actualizado con nuevas funciones, así como cambios en las técnicas anti-análisis (evitación de análisis)”.
LODEINFO (versiones 0.6.6 y 0.6.7) fue documentado por primera vez por Kaspersky en noviembre de 2022, detallando sus capacidades para ejecutar shellcode arbitrario, tomar capturas de pantalla y exfiltrar archivos a un servidor controlado por un actor.
Un mes después, ESET reveló ataques dirigidos a instituciones políticas japonesas que llevaron al despliegue de LODEINFO.
La puerta trasera es obra de un actor de estado-nación chino conocido como Stone Panda (también conocido como APT10, Bronze Riverside, Cicada, Earth Tengshe, MirrorFace y Potassium), que tiene un historial de orquestar ataques dirigidos a Japón desde 2021.
Las cadenas de ataques comienzan con correos electrónicos de phishing que contienen documentos maliciosos de Microsoft Word que, cuando se abren, ejecutan macros VBA para iniciar el código shell de descarga capaz de, en última instancia, ejecutar el implante LODEINFO.
También se han observado rutas de infección de LODEINFO en 2023 que utilizan métodos de inyección remota de plantillas para recuperar y ejecutar macros maliciosas alojadas en la infraestructura del adversario cada vez que la víctima abre un documento de Word atractivo que contiene la plantilla.
Es más, se dice que se agregaron comprobaciones alrededor de junio de 2023 para verificar la configuración de idioma de Microsoft Office y determinar si es japonés, solo para eliminarlo un mes después en ataques que aprovecharon la versión 0.7.1 de LODEINFO.
“Además, el nombre del archivo del maldoc ha sido cambiado de japonés a inglés”, señaló ITOCHU. “A partir de esto, creemos que la versión 0.7.1 probablemente se utilizó para atacar entornos en idiomas distintos del japonés”.
Otro cambio notable en los ataques que entregan LODEINFO versión 0.7.1 es la introducción de una nueva etapa intermedia que implica que el descargador de shellcode obtenga un archivo que se hace pasar por un correo de privacidad mejorada (PEM) desde un servidor C2, que, a su vez, carga la puerta trasera directamente en la memoria.
El programa de descarga comparte similitudes con un conocido programa de descarga sin archivos denominado DOWNIISSA, basado en el mecanismo de autoparche para ocultar código malicioso, el método de codificación para la información del servidor de comando y control (C2) y la estructura de los datos descifrados del archivo PEM falso.
“LODEINFO backdoor shellcode es un malware sin archivos que permite a los atacantes acceder y operar de forma remota hosts infectados”, dijo la compañía, con muestras encontradas en 2023 y 2024 que incorporan comandos adicionales. La última versión de LODEINFO es 0.7.3.
“Como contramedida, dado que tanto el código shell del descargador como el código shell de la puerta trasera de LODEINFO son malware sin archivos, es esencial introducir un producto que pueda escanear y detectar malware en la memoria para poder detectarlo”, añadió.