Se ha observado que un grupo de estado-nación chino apunta a los ministerios de Relaciones Exteriores y las embajadas en Europa utilizando técnicas de contrabando de HTML para entregar el troyano de acceso remoto PlugX en sistemas comprometidos.
La firma de seguridad cibernética Check Point dijo que la actividad, denominada engreídoXha estado en curso desde al menos diciembre de 2022.
«La campaña utiliza nuevos métodos de entrega para implementar (en particular, el contrabando de HTML) una nueva variante de PlugX, un implante comúnmente asociado con una amplia variedad de actores de amenazas chinos», Check Point dicho.
«Aunque la carga útil en sí sigue siendo similar a la que se encuentra en las variantes anteriores de PlugX, sus métodos de entrega dan como resultado bajas tasas de detección, lo que hasta hace poco ayudó a que la campaña pasara desapercibida».
La identidad exacta del actor de amenazas detrás de la operación es un poco confusa, aunque las pistas existentes apuntan en la dirección de Mustang Panda, que también comparte superposiciones con grupos rastreados como Earth Preta, RedDelta y la propia designación de Check Point, Camaro Dragon.
Sin embargo, la compañía dijo que hay «pruebas insuficientes» en esta etapa para atribuirlo de manera concluyente al colectivo adversario.
La última secuencia de ataque es importante para el uso de Contrabando de HTML – una técnica sigilosa en la que se abusa de las funciones legítimas de HTML5 y JavaScript para ensamblar y lanzar el malware – en los documentos señuelo adjuntos a los correos electrónicos de phishing selectivo.
«El contrabando de HTML emplea atributos de HTML5 que pueden funcionar sin conexión mediante el almacenamiento de un binario en una gota inmutable de datos dentro del código JavaScript», Trustwave anotado a principios de febrero. «El blob de datos, o la carga útil incrustada, se decodifica en un objeto de archivo cuando se abre a través de un navegador web».
Un análisis de los documentos, que se cargaron en la base de datos de malware VirusTotal, revela que están diseñados para dirigirse a diplomáticos y entidades gubernamentales en Chequia, Hungría, Eslovaquia, el Reino Unido, Ucrania y también probablemente en Francia y Suecia.
En un caso, se dice que el actor de la amenaza empleó un señuelo de temática uigur («China intenta bloquear a un destacado orador uigur en la ONU.docx») que, cuando se abre, señala a un servidor externo por medio de un seguimiento invisible integrado. píxel para filtrar datos de reconocimiento.
El proceso de infección de múltiples etapas utiliza métodos de carga lateral de DLL para descifrar y lanzar la carga útil final, PlugX.
También llamado Korplug, el malware se remonta a 2008 y es un troyano modular capaz de acomodar «diversos complementos con distintas funcionalidades» que permite a los operadores realizar robos de archivos, capturas de pantalla, registro de pulsaciones de teclas y ejecución de comandos.
«Durante el curso de nuestra investigación de las muestras, el actor de amenazas envió un script por lotes, enviado desde el servidor de C&C, con la intención de borrar cualquier rastro de sus actividades», dijo Check Point.
«Este script, llamado del_RoboTask Update.bat, erradica el ejecutable legítimo, la DLL del cargador PlugX y la clave de registro implementada para la persistencia, y finalmente se elimina a sí mismo. Es probable que esto sea el resultado de que los actores de la amenaza se dieron cuenta de que estaban bajo escrutinio. .»