Un grupo de amenazas persistentes avanzadas (APT) de origen chino con nombre en código DiceyF se ha relacionado con una serie de ataques dirigidos a los casinos en línea en el sudeste asiático durante años.
La empresa rusa de ciberseguridad Kaspersky dijo que la actividad se alinea con otro conjunto de intrusiones atribuidas a Earth Berberoka (también conocido como GamblingPuppet) y DRBControl, citando similitudes tácticas y de orientación, así como el abuso de clientes de mensajería segura.
“Posiblemente tenemos una mezcla de espionaje y [intellectual property] robo, pero las verdaderas motivaciones siguen siendo un misterio”, los investigadores Kurt Baumgartner y Georgy Kucherin dijo en un artículo técnico publicado esta semana.
El punto de partida de la investigación fue en noviembre de 2021 cuando Kaspersky dijo que detectó múltiples cargadores PlugX y otras cargas útiles que se implementaron a través de un servicio de monitoreo de empleados y un servicio de implementación de paquetes de seguridad.
El método de infección inicial, la distribución del marco a través de paquetes de soluciones de seguridad, le permitió al actor de amenazas “realizar actividades de ciberespionaje con cierto nivel de sigilo”, afirmó la compañía.
Posteriormente, se dice que se empleó el mismo servicio de implementación de paquetes de seguridad para entregar lo que se llama GamePlayerFramework, una variante C# de un malware basado en C++ conocido como PuppetLoader.
“Este ‘marco’ incluye descargadores, lanzadores y un conjunto de complementos que brindan acceso remoto y roban pulsaciones de teclas y datos del portapapeles”, explicaron los investigadores.
Las indicaciones son que la actividad de DiceyF es una campaña de seguimiento a Earth Berberoka con un conjunto de herramientas de malware rediseñado, incluso cuando el marco se mantiene a través de dos ramas separadas denominadas Tifa y Yuna, que vienen con diferentes módulos de diferentes niveles de sofisticación.
Mientras que la rama de Tifa contiene un descargador y un componente principal, Yuna es más compleja en términos de funcionalidad e incorpora un descargador, un conjunto de complementos y al menos 12 módulos PuppetLoader. Dicho esto, se cree que ambas ramas se actualizan de forma activa e incremental.
Independientemente de la variante empleada, GamePlayerFramework, una vez lanzado, se conecta a un comando y control (C2) y transmite información sobre el host comprometido y el contenido del portapapeles, luego de lo cual el C2 responde con uno de los 15 comandos que permiten que el malware tomar el control de la máquina.
Esto también incluye el lanzamiento de un complemento en el sistema de la víctima que puede descargarse del servidor C2 cuando se crea una instancia del marco o recuperarse mediante el comando “InstallPlugin” enviado por el servidor.
Estos complementos, a su vez, permiten robar cookies de los navegadores Google Chrome y Mozilla Firefox, capturar pulsaciones de teclas y datos del portapapeles, configurar sesiones de escritorio virtual e incluso conectarse de forma remota a la máquina a través de SSH.
Kaspersky también señaló el uso de una aplicación maliciosa que imita otro software llamado Mango Employee Account Data Synchronizer, una aplicación de mensajería utilizada en las entidades objetivo, para colocar GamePlayerFramework dentro de la red.
“Hay muchas características interesantes de las campañas y TTP de DiceyF”, dijeron los investigadores. “El grupo modifica su base de código con el tiempo y desarrolla funcionalidades en el código a lo largo de sus intrusiones”.
“Para asegurarse de que las víctimas no sospecharan de los implantes disfrazados, los atacantes obtuvieron información sobre las organizaciones objetivo (como el piso donde se encuentra el departamento de TI de la organización) y la incluyeron dentro de las ventanas gráficas que se muestran a las víctimas”.
About the Author
