Una variante de Linux de una puerta trasera conocida como SideWalk se utilizó para apuntar a una universidad de Hong Kong en febrero de 2021, lo que subraya las capacidades multiplataforma del implante.
La firma eslovaca de seguridad cibernética ESET, que detectó el malware en la red de la universidad, atribuyó la puerta trasera a un actor del estado-nación denominado EspumosoGoblin. Se dice que la universidad no identificada ya fue atacada por el grupo en mayo de 2020 durante el protestas estudiantiles.
«El grupo atacó continuamente a esta organización durante un largo período de tiempo, comprometiendo con éxito varios servidores clave, incluido un servidor de impresión, un servidor de correo electrónico y un servidor utilizado para administrar los horarios de los estudiantes y las inscripciones en los cursos», ESET dijo en un informe compartido con The Hacker News.
SparklingGoblin es el nombre dado a un grupo chino de amenazas persistentes avanzadas (APT) con conexiones al paraguas winnti (también conocido como APT41, Bario o Wicked Panda). Es conocido principalmente por sus ataques dirigidos a varias entidades en el este y sudeste de Asia al menos desde 2019, con un enfoque específico en el sector académico.
En agosto de 2021, ESET descubrió una nueva pieza de malware de Windows personalizado con nombre en código SideWalk que fue aprovechado exclusivamente por el actor para atacar a una empresa minorista de computadoras sin nombre con sede en los EE. UU.
Hallazgos posteriores de Symantec, parte del software de Broadcom, vincularon el uso de SideWalk con un grupo de ataque de espionaje que rastrea bajo el nombre de Grayfly, al tiempo que señalan las similitudes del malware con el de Crosswalk.
«Las tácticas, técnicas y procedimientos (TTP) de SparklingGoblin se superponen parcialmente con los TTP de APT41», dijo a The Hacker News Mathieu Tartare, investigador de malware de ESET. «La definición de Grayfly dada por Symantec parece (al menos parcialmente) superponerse con SparklingGoblin».
La última investigación de ESET se sumerge en la contraparte de Linux de SideWalk (originalmente llamada StageClient en julio de 2021), y el análisis también descubrió que rata espectrouna red de bots de Linux que salió a la luz en septiembre de 2020, también es una variante de SideWalk para Linux.
Además de las múltiples similitudes de código entre SideWalk Linux y varias herramientas SparklingGoblin, se encontró una de las muestras de Linux usando una dirección de comando y control (66.42.103[.]222) que fue utilizado previamente por SparklingGoblin.
Otros puntos en común incluyen el uso de la misma implementación ChaCha20 a medida, múltiples subprocesos para ejecutar una tarea en particular, el algoritmo ChaCha20 para descifrar su configuración y un idéntico resolución de caída muerta carga útil.
A pesar de estas superposiciones, hay algunos cambios significativos, el más notable es el cambio de C a C++, la adición de nuevos módulos integrados para ejecutar tareas programadas y recopilar información del sistema, y cambios en cuatro comandos que no se manejan en la versión de Linux. .
«Dado que hemos visto la variante de Linux solo una vez en nuestra telemetría (implementada en una universidad de Hong Kong en febrero de 2021), se puede considerar que la variante de Linux es menos frecuente, pero también tenemos menos visibilidad en los sistemas Linux, lo que podría explicar esto. – dijo Tartar.
«Por otro lado, la variante Spectre Linux se usa contra cámaras IP y dispositivos NVR y DVR (en los que no tenemos visibilidad) y se propaga masivamente al explotar una vulnerabilidad en dichos dispositivos».