Un par de informes de empresas de ciberseguridad. SEKOIA y Tendencia Micro arroja luz sobre una nueva campaña realizada por un actor de amenazas chino llamado Ratón de la suerte eso implica aprovechar una versión troyana de una aplicación de mensajería multiplataforma para sistemas de puerta trasera.
Las cadenas de infección aprovechan una aplicación de chat llamada MiMi, con sus archivos de instalación comprometidos para descargar e instalar muestras de HyperBro para el sistema operativo Windows y artefactos rshell para Linux y macOS.
Hasta 13 entidades diferentes ubicadas en Taiwán y Filipinas han estado en el extremo receptor de los ataques, ocho de las cuales han sido alcanzadas con rshell. La primera víctima de rshell se informó a mediados de julio de 2021.
Ratón de la Suerte, también llamado APT27Bronze Union, Emissary Panda y Iron Tiger, se sabe que está activo desde 2013 y tiene un historial de obtener acceso a redes específicas en la búsqueda de sus objetivos políticos y militares de recopilación de inteligencia alineados con China.
El actor de amenazas persistentes avanzado (APT) también es experto en filtrar información de alto valor utilizando una amplia gama de implantes personalizados como SysUpdate, hiperbroy PlugX.
El último desarrollo es significativo, sobre todo porque marca el intento introductorio del actor de amenazas de apuntar a macOS junto con Windows y Linux.
La campaña tiene todas las características de una ataque a la cadena de suministro en el sentido de que los servidores backend que alojan los instaladores de aplicaciones de MiMi están controlados por Lucky Mouse, lo que permite modificar la aplicación para recuperar las puertas traseras de un servidor remoto.
Esto se confirma por el hecho de que la versión 2.3.0 de macOS de la aplicación fue manipulada para insertar el código JavaScript malicioso el 26 de mayo de 2022. Si bien esta puede haber sido la primera variante de macOS comprometida, las versiones 2.2.0 y 2.2.1 creadas para Se ha descubierto que Windows incorpora adiciones similares desde el 23 de noviembre de 2021.
rshell, por su parte, es una puerta trasera estándar que viene con todas las campanas y silbatos habituales, lo que permite la ejecución de comandos arbitrarios recibidos de un servidor de comando y control (C2) y transmite los resultados de la ejecución a el servidor.
No está claro de inmediato si MiMi es un programa de chat legítimo o si fue «diseñado o reutilizado como una herramienta de vigilancia», aunque la aplicación ha sido utilizada por otro actor de habla china apodado Tierra Berberoka (también conocido como GamblingPuppet) dirigido a sitios de apuestas en línea, una vez más indicativo del uso compartido de herramientas predominante entre los grupos APT chinos.
Las conexiones de la operación con Lucky Mouse se derivan de enlaces a la infraestructura previamente identificada como utilizada por el conjunto de intrusión China-nexus y el despliegue de HyperBro, una puerta trasera utilizada exclusivamente por el grupo de piratas informáticos.
Como señala SEKOIA, esta no es la primera vez que el adversario recurre a utilizar una aplicación de mensajería como punto de partida en sus ataques. A fines de 2020, ESET reveló que se abusó de un popular software de chat llamado Able Desktop para entregar HyperBro, PlugX y un troyano de acceso remoto llamado Tmanger dirigido a Mongolia.