Las entidades gubernamentales de alto perfil en el sudeste asiático son el objetivo de una campaña de espionaje cibernético emprendida por un actor de amenazas chino conocido como Sharp Panda desde fines del año pasado.
Las intrusiones se caracterizan por el uso de una nueva versión del marco modular Soul, lo que marca una desviación de las cadenas de ataque del grupo observadas en 2021.
Empresa israelí de ciberseguridad Check Point dicho las actividades de «larga duración» históricamente se han centrado en países como Vietnam, Tailandia e Indonesia. Sharp Panda fue documentado por primera vez por la firma en junio de 2021, y lo describió como una «operación altamente organizada que hizo un esfuerzo significativo para permanecer bajo el radar».
Curiosamente, el uso de la puerta trasera Soul fue detallado por Symantec de Broadcom en octubre de 2021 en relación con una operación de espionaje no atribuida dirigida a los sectores de defensa, salud y TIC en el sudeste asiático.
Los orígenes del implante, según investigación publicado por Fortinet FortiGuard Labs en febrero de 2022, data de octubre de 2017, con el código de reutilización de malware de Gh0st RAT y otras herramientas disponibles públicamente.
La cadena de ataque detallada por Check Point comienza con un correo electrónico de spear-phishing que contiene un documento señuelo que aprovecha la Camino real Armador de formato de texto enriquecido (RTF) para soltar un descargador explotando una de varias vulnerabilidades en el Editor de ecuaciones de Microsoft.
El descargador, a su vez, está diseñado para recuperar un cargador conocido como SoulSearcher de un servidor de comando y control (C&C) geovallado que solo responde a las solicitudes que se originan en las direcciones IP correspondientes a los países objetivo.
Luego, el cargador es responsable de descargar, descifrar y ejecutar la puerta trasera de Soul y sus otros componentes, lo que permite al adversario recopilar una amplia gama de información.
«El módulo principal de Soul es responsable de comunicarse con el servidor C&C y su propósito principal es recibir y cargar módulos adicionales en la memoria», dijo Check Point.
Descubra las últimas tácticas de evasión de malware y estrategias de prevención
¿Listo para acabar con los 9 mitos más peligrosos sobre los ataques basados en archivos? ¡Únase a nuestro próximo seminario web y conviértase en un héroe en la lucha contra las infecciones del paciente cero y los eventos de seguridad de día cero!
«Curiosamente, la configuración de puerta trasera contiene una función similar a ‘silencio de radio’, donde los actores pueden especificar horas específicas en una semana cuando la puerta trasera no puede comunicarse con el servidor C&C».
Los hallazgos son otra indicación del intercambio de herramientas que prevalece entre los grupos chinos de amenazas persistentes avanzadas (APT) para facilitar la recopilación de inteligencia.
“Si bien el marco Soul ha estado en uso desde al menos 2017, los actores de amenazas detrás de él han estado constantemente actualizando y refinando su arquitectura y capacidades”, dijo la compañía.
Señaló además que la campaña probablemente sea «organizada por actores de amenazas avanzados respaldados por China, cuyas otras herramientas, capacidades y posición dentro de la red más amplia de actividades de espionaje aún no se han explorado».