Una nueva puerta trasera personalizada denominada Soldado sigiloso se ha desplegado como parte de un conjunto de ataques de espionaje altamente selectivos en el norte de África.
«El malware Stealth Soldier es una puerta trasera no documentada que opera principalmente funciones de vigilancia como la exfiltración de archivos, la grabación de pantalla y micrófono, el registro de pulsaciones de teclas y el robo de información del navegador», dijo la empresa de ciberseguridad Check Point. dicho en un informe técnico.
La operación en curso se caracteriza por el uso de servidores de comando y control (C&C) que imitan los sitios que pertenecen al Ministerio de Relaciones Exteriores de Libia. Los primeros artefactos asociados con la campaña datan de octubre de 2022.
Los ataques comienzan con objetivos potenciales que descargan binarios de descarga falsos que se entregan a través de ataques de ingeniería social y actúan como un conducto para recuperar Stealth Soldier, al tiempo que muestran un archivo PDF vacío de señuelo.
El implante modular personalizado, que se cree que se usa con moderación, permite capacidades de vigilancia mediante la recopilación de listas de directorios y credenciales del navegador, el registro de pulsaciones de teclas, la grabación de audio del micrófono, la toma de capturas de pantalla, la carga de archivos y la ejecución de comandos de PowerShell.
«El malware usa diferentes tipos de comandos: algunos son complementos que se descargan del C&C y otros son módulos dentro del malware», dijo Check Point, y agregó que el descubrimiento de tres versiones de Stealth Soldier indica que sus operadores lo mantienen activamente.
Algunos de los componentes ya no están disponibles para su recuperación, pero se dice que los complementos de captura de pantalla y robo de credenciales del navegador se inspiraron en proyectos de código abierto disponibles en GitHub.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Además, la infraestructura de Stealth Soldier se superpone con la infraestructura asociada con otra campaña de phishing denominada Ojo en el Niloque atacó a periodistas egipcios y activistas de derechos humanos en 2019.
El desarrollo señala la «primera reaparición posible de este actor de amenazas» desde entonces, lo que sugiere que el grupo está orientado a la vigilancia contra objetivos egipcios y libios.
«Dada la modularidad del malware y el uso de múltiples etapas de infección, es probable que los atacantes continúen evolucionando sus tácticas y técnicas e implementen nuevas versiones de este malware en un futuro cercano», dijo Check Point.