En un reciente informe de la firma de ciberseguridad Check Point, se ha revelado que un grupo estatal chino ha estado llevando a cabo una serie de ataques dirigidos a los Ministerios de Asuntos Exteriores y embajadas en Europa. Estos ataques se realizan utilizando la técnica de HTML Smuggling para entregar el troyano de acceso remoto PlugX en sistemas comprometidos.
La campaña, denominada SmugX, ha estado en marcha desde al menos diciembre de 2022, según el informe de Check Point. Los atacantes han utilizado métodos de entrega novedosos para desplegar una nueva variante de PlugX, un implante asociado comúnmente con una amplia variedad de actores de amenazas chinos.
Aunque la carga útil en sí misma es similar a las variantes anteriores de PlugX, los métodos de entrega utilizados resultan en bajos índices de detección, lo que ha permitido que la campaña pase desapercibida hasta hace poco.
La identidad exacta del actor de amenazas detrás de esta operación aún no está clara. Sin embargo, existen indicios que apuntan hacia el grupo Mustang Panda, que también se ha relacionado con otros grupos conocidos como Earth Preta, RedDelta y Camaro Dragon, según Check Point.
No obstante, la empresa afirma que actualmente no hay suficiente evidencia para atribuir definitivamente la campaña a este grupo o a otro colectivo adversario.
El punto destacado de estos ataques es el uso de la técnica de HTML Smuggling, que permite a los atacantes ensamblar y lanzar el malware a través de documentos adjuntos a correos electrónicos de phishing dirigidos.
El HTML Smuggling aprovecha atributos de HTML5 y JavaScript legítimos para almacenar datos binarios en código JavaScript. Estos datos se decodifican en un objeto de archivo cuando se abre a través de un navegador web.
Esta técnica de entrega sigilosa ha sido utilizada en documentos diseñados para apuntar a diplomáticos y entidades gubernamentales en países como República Checa, Hungría, Eslovaquia, Reino Unido, Ucrania, Francia y Suecia.
El proceso de infección utilizado en estos ataques se basa en métodos de carga lateral de DLL para descifrar y lanzar la carga útil final, PlugX. También conocido como Korplug, este malware modular tiene la capacidad de adaptarse a diferentes plugins con funcionalidades distintas, lo que permite a los operadores llevar a cabo robo de archivos, capturas de pantalla, registro de pulsaciones de teclado y ejecución de comandos.
Durante el análisis de las muestras de malware, Check Point descubrió que los atacantes enviaron un script de lote desde el servidor de comando y control para borrar cualquier rastro de sus actividades. Este script, llamado del_RoboTask Update.bat, elimina el ejecutable legítimo, el cargador DLL de PlugX y la clave del registro utilizada para mantener la persistencia del malware.
Es probable que los atacantes se dieran cuenta de que estaban siendo investigados y tomaron medidas para eliminar cualquier evidencia que pudiera comprometer su operación.