El grupo de estado-nación chino denominado Tauro de aleación está utilizando una variante de Linux de una puerta trasera llamada PingPull, así como una nueva herramienta no documentada con nombre en código Sword2033.
Eso es según los hallazgos de la Unidad 42 de Palo Alto Networks, que descubierto actividad cibernética maliciosa reciente llevada a cabo por el grupo contra Sudáfrica y Nepal.
Alloy Taurus es el apodo con el tema de la constelación asignado a un actor de amenazas que es conocido por sus ataques dirigidos a empresas de telecomunicaciones desde al menos 2012. Microsoft también lo rastrea como Granite Typhoon (anteriormente Gallium).
El mes pasado, el adversario se atribuyó a una campaña llamada Tainted Love dirigida a proveedores de telecomunicaciones en el Medio Oriente como parte de una operación más amplia conocida como Soft Cell.
Los recientes ataques de ciberespionaje montados por Alloy Taurus también han ampliado su huella de victimología para incluir instituciones financieras y entidades gubernamentales.
PingPull, documentado por primera vez por la Unidad 42 en junio de 2022, es un troyano de acceso remoto que emplea el Protocolo de mensajes de control de Internet (ICMP) para las comunicaciones de comando y control (C2).
El sabor de Linux del malware cuenta con funcionalidades similares a las de su contraparte de Windows, lo que le permite realizar operaciones de archivo y ejecutar comandos arbitrarios al transmitir desde el servidor C2 un solo carácter en mayúscula entre A y K, y M.
«Al ejecutarse, esta muestra se configura para comunicarse con el dominio yrhsywu2009.zapto[.]org a través del puerto 8443 para C2”, dijo Unit 42. “Utiliza una biblioteca OpenSSL (OpenSSL 0.9.8e) vinculada estáticamente para interactuar con el dominio a través de HTTPS”.
Curiosamente, el análisis de PingPull de las instrucciones C2 refleja el del Helicóptero chinoa caparazón web ampliamente utilizado por los actores de amenazas chinos, lo que sugiere que el actor de amenazas está reutilizando el código fuente existente para diseñar herramientas personalizadas.
Un examen más detallado del dominio antes mencionado también reveló la existencia de otro artefacto ELF (es decir, Sword2033) que admite tres funciones básicas, incluida la carga y extracción de archivos y la ejecución de comandos.
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
Los enlaces del malware a Alloy Taurus se derivan del hecho de que el dominio se resolvió en una dirección IP que se identificó previamente como un indicador activo de compromiso (IoC) asociado con una campaña anterior dirigida a empresas que operan en el sudeste asiático, Europa y África.
El objetivo de Sudáfrica, según la compañía de seguridad cibernética, se produce en el contexto de que el país tiene un ejercicio naval conjunto de 10 días con Rusia y China a principios de este año.
«Alloy Taurus sigue siendo una amenaza activa para las organizaciones gubernamentales, financieras y de telecomunicaciones en el sudeste asiático, Europa y África», dijo Unit 42.
«La identificación de una variante de Linux del malware PingPull, así como el uso reciente de la puerta trasera Sword2033, sugiere que el grupo continúa evolucionando sus operaciones en apoyo de sus actividades de espionaje».