Un desconocido grupo de pirater\u00eda patrocinado por el estado chino ha sido vinculado a una nueva pieza de malware dirigida a servidores Linux.<\/p>\n
La firma francesa de ciberseguridad ExaTrack, que encontr\u00f3 tres muestras del software malicioso previamente documentado que datan de principios de 2022, lo denomin\u00f3 M\u00e9lof\u00e9e<\/strong>.<\/p>\n El m\u00e1s nuevo de los tres artefactos est\u00e1 dise\u00f1ado para eliminar un rootkit en modo kernel que se basa en un proyecto de c\u00f3digo abierto denominado Reptil<\/a>.<\/p>\n “Seg\u00fan los metadatos de vermagic, est\u00e1 compilado para una versi\u00f3n de kernel 5.10.112-108.499.amzn2.x86_64”, la compa\u00f1\u00eda dicho<\/a> en un informe “El rootkit tiene un conjunto limitado de funciones, principalmente la instalaci\u00f3n de un gancho dise\u00f1ado para ocultarse”.<\/p>\n Se dice que tanto el implante como el rootkit se implementan mediante comandos de shell que descargan un instalador y un paquete binario personalizado desde un servidor remoto.<\/p>\n El instalador toma el paquete binario como argumento y luego extrae el rootkit, as\u00ed como un m\u00f3dulo de implantaci\u00f3n de servidor que se encuentra actualmente en desarrollo activo.<\/p>\n Las caracter\u00edsticas de M\u00e9lof\u00e9e no son diferentes de otras puertas traseras de su tipo, lo que le permite comunicarse con un servidor remoto y recibir instrucciones que le permiten realizar operaciones con archivos, crear sockets, iniciar un shell y ejecutar comandos arbitrarios.<\/p>\n Los v\u00ednculos del malware con China provienen de superposiciones de infraestructura con grupos como APT41 (tambi\u00e9n conocido como Winnti<\/a>) y Earth Berberoka (alias Juegos De AzarMarioneta<\/a>).<\/p>\n Earth Berberoka es el nombre que se le da a un actor patrocinado por el estado que se dirige principalmente a sitios web de apuestas en China desde al menos 2020 usando malware multiplataforma como HelloBot y rata cachorro<\/a>.<\/p>\n Seg\u00fan Trend Micro, algunas muestras de Pupy RAT basado en Python se han ocultado mediante el rootkit Reptile.<\/p>\n \u00a1Convi\u00e9rtase en un profesional de respuesta a incidentes!<\/p>\n Descubra los secretos de la respuesta a incidentes a prueba de balas: \u00a1domine el proceso de 6 fases con Asaf Perlman, l\u00edder de IR de Cynet!<\/p>\n No se lo pierda: \u00a1guarde su asiento!<\/a><\/div>\n ExaTrack tambi\u00e9n descubri\u00f3 otro implante con nombre en c\u00f3digo AlienReverse, que comparte similitudes de c\u00f3digo con M\u00e9lof\u00e9e y hace uso de herramientas disponibles p\u00fablicamente como Lombriz<\/a> y calcetines_proxy<\/a>.<\/p>\n “La familia de implantes M\u00e9lof\u00e9e es otra herramienta en el arsenal de los atacantes patrocinados por el estado chino, que muestran una constante innovaci\u00f3n y desarrollo”, dijo la compa\u00f1\u00eda.<\/p>\n “Las capacidades que ofrece M\u00e9lof\u00e9e son relativamente simples, pero pueden permitir que los adversarios lleven a cabo sus ataques bajo el radar. Estos implantes no fueron muy vistos, lo que demuestra que los atacantes probablemente est\u00e1n limitando su uso a objetivos de alto valor”.<\/p>\n <\/p>\n