Los sectores del gobierno, la aviación, la educación y las telecomunicaciones ubicados en el sur y sureste de Asia han pasado al radar de un nuevo grupo de hackers como parte de una campaña altamente dirigida que comenzó a mediados de 2022 y continuó hasta el primer trimestre de 2023.
Symantec, de Broadcom Software, está rastreando la actividad bajo su nombre de insecto. mosca lanzacon los ataques haciendo uso de una puerta trasera «poderosa» llamada Merdoor.
La evidencia recopilada hasta ahora apunta a que el implante personalizado se utilizó desde 2018. El objetivo final de la campaña, basado en las herramientas y el patrón de victimología, se evalúa como la recopilación de inteligencia.
«La puerta trasera se usa de manera muy selectiva, apareciendo solo en un puñado de redes y una pequeña cantidad de máquinas a lo largo de los años, y su uso parece ser muy específico», Symantec dicho en un análisis compartido con The Hacker News.
«Los atacantes de esta campaña también tienen acceso a una versión actualizada del rootkit ZXShell».
Si bien el vector de intrusión inicial exacto utilizado actualmente no está claro, se sospecha que involucró el uso de señuelos de phishing, fuerza bruta SSH o la explotación de servidores expuestos a Internet.
Las cadenas de ataque finalmente conducen a la implementación de ZXShell y Merdoor, un malware con todas las funciones que puede comunicarse con un servidor controlado por un actor para obtener más comandos y registrar pulsaciones de teclas.
ZXShell, documentado por primera vez por Cisco en octubre de 2014, es un rootkit que viene con varias funciones para recopilar datos confidenciales de hosts infectados. El uso de ZXShell se ha relacionado con varios actores chinos como APT17 (Aurora Panda) y APT27 (también conocido como Budworm o Emissary Panda) en el pasado.
«El código fuente de este rootkit está disponible públicamente, por lo que puede ser utilizado por varios grupos diferentes», dijo Symantec. «La nueva versión del rootkit utilizada por Lancefly parece ser más pequeña en tamaño, mientras que también tiene funciones adicionales y apunta a software antivirus adicional para deshabilitar».
Otro enlace chino proviene del hecho de que el rootkit ZXShell está firmado por el certificado «Wemade Entertainment Co. Ltd», que fue previamente reportado por Mandiant en agosto de 2029 para asociarse con APT41 (también conocido como Winnti).
Aprenda a detener el ransomware con protección en tiempo real
Únase a nuestro seminario web y aprenda cómo detener los ataques de ransomware en seco con MFA en tiempo real y protección de cuenta de servicio.
También se ha identificado que las intrusiones de Lancefly emplean PlugX y su sucesor ShadowPad, el último de los cuales es una plataforma de malware modular compartida de forma privada entre varios actores patrocinados por el estado chino desde 2015.
Dicho esto, también se sabe que intercambio de certificados y herramientas prevalece entre los grupos patrocinados por el estado chino, lo que dificulta la atribución a un equipo de ataque conocido específico.
«Si bien la puerta trasera de Merdoor parece haber existido durante varios años, parece que solo se usó en una pequeña cantidad de ataques en ese período de tiempo», señaló Symantec. «Este uso prudente de la herramienta puede indicar un deseo de Lancefly de mantener su actividad bajo el radar».