Se ha observado que el actor de amenazas de habla china conocido como Earth Lusca utiliza una nueva puerta trasera denominada KTLVdoor como parte de un ciberataque dirigido a una empresa comercial anónima con sede en China.
El malware, que no había sido reportado previamente, está escrito en Golang y, por lo tanto, es un arma multiplataforma capaz de atacar sistemas Microsoft Windows y Linux.
«KTLVdoor es un malware altamente ofuscado que se hace pasar por diferentes utilidades del sistema, lo que permite a los atacantes realizar una variedad de tareas, incluida la manipulación de archivos, la ejecución de comandos y el escaneo remoto de puertos», dijeron los investigadores de Trend Micro Cedric Pernet y Jaromir Horejsi. dicho en un análisis publicado el miércoles.
Algunas de las herramientas que KTLVdoor suplanta incluyen sshd, Java, SQLite, bash y edr-agent, entre otras, y el malware se distribuye en forma de biblioteca de vínculo dinámico (.dll) o de objeto compartido (.so).
Quizás el aspecto más inusual del grupo de actividades es el descubrimiento de más de 50 servidores de comando y control (C&C), todos alojados en la empresa china Alibaba, que han sido identificados por comunicarse con variantes del malware, lo que aumenta la posibilidad de que la infraestructura pueda ser compartida con otros actores de amenazas chinos.
Se sabe que Earth Lusca está activo desde al menos 2021, organizando ciberataques contra entidades del sector público y privado en Asia, Australia, Europa y América del Norte. Se estima que comparte algunas superposiciones tácticas con otros conjuntos de intrusiones rastreados como RedHotel y APT27 (también conocidos como Budworm, Emissary Panda y Tigre de hierro).
KTLVdoor, la última incorporación al arsenal de malware del grupo, está altamente ofuscado y recibe su nombre del uso de un marcador llamado «KTLV» en su archivo de configuración que incluye varios parámetros necesarios para cumplir con sus funciones, incluidos los servidores C&C a los que conectarse.
Una vez inicializado, el malware inicia contacto con el servidor C&C en un bucle, a la espera de que se ejecuten más instrucciones en el host comprometido. Los comandos admitidos le permiten descargar/cargar archivos, enumerar el sistema de archivos, iniciar un shell interactivo, ejecutar código shell e iniciar un escaneo mediante ScanTCP, ScanRDP, DialTLS, ScanPing y ScanWeb, entre otros.
Dicho esto, no se sabe mucho sobre cómo se distribuye el malware y si se ha utilizado para atacar a otras entidades en todo el mundo.
«Esta nueva herramienta es utilizada por Earth Lusca, pero también podría ser compartida con otros actores de amenazas de habla china», señalaron los investigadores. «Al ver que todos los servidores C&C estaban en direcciones IP del proveedor chino Alibaba, nos preguntamos si la apariencia de este nuevo malware y el servidor C&C no podrían ser una etapa temprana de prueba de la nueva herramienta».