top of page

Hacker innovan sus métodos de ataque para el ciberespionaje


Bajo el nombre de Webworm un hacker fue rastreado y vinculado con virus troyanos de acceso remoto basados en Windows muchos de los cuales se cree se encuentran en fase de prueba o predespliegue.


"El grupo ha desarrollado versiones personalizadas de tres troyanos de acceso remoto (RATs) más antiguos, incluyendo Trochilus RAT, Gh0st RAT y 9002 RAT", dijo el equipo de Symantec Threat Hunter, parte de Broadcom Software, en un informe.


La empresa de ciberseguridad dijo que al menos uno de los indicadores de compromiso (IOC) fue utilizado en un ataque contra un proveedor de servicios de TI que opera en varios países asiáticos.


Cabe destacar que las tres puertas traseras se asocian principalmente con actores de amenazas chinos como Stone Panda (APT10), Aurora Panda (APT17), Emissary Panda (APT27) y Judgement Panda (APT31), entre otros, aunque han sido puestas en uso por otros grupos de hackers.


Symantec dijo que el actor de la amenaza Webworm presenta solapamientos tácticos con otro nuevo colectivo adversario documentado por Positive Technologies a principios de mayo como Space Pirates, que se encontró atacando a entidades de la industria aeroespacial rusa con un novedoso malware.


Space Pirates, por su parte, se cruza con la actividad de espionaje china previamente identificada, conocida como Wicked Panda (APT41), Mustang Panda, Dagger Panda (RedFoxtrot), Colorful Panda (TA428) y Night Dragon, debido al uso compartido de RAT modulares post-explotación como PlugX y ShadowPad.


Otras herramientas en su arsenal de malware incluyen Zupdax, Deed RAT, una versión modificada de Gh0st RAT conocida como BH_A006 y MyKLoadClient.


Webworm, activo desde 2017, tiene un historial de ataques a agencias gubernamentales y empresas relacionadas con los servicios de TI, la industria aeroespacial y la energía eléctrica ubicadas en Rusia, Georgia, Mongolia y varias otras naciones asiáticas.


Las cadenas de ataque implican el uso de malware dropper que alberga un cargador diseñado para lanzar versiones modificadas de los troyanos de acceso remoto Trochilus, Gh0st y 9002. La mayoría de las modificaciones están destinadas a evadir la detección, dijo la empresa de ciberseguridad, señalando que el acceso inicial se logra a través de la ingeniería social con documentos señuelo.


"El uso por parte de Webworm de versiones personalizadas de malware más antiguo y en algunos casos de código abierto, así como los solapamientos de código con el grupo conocido como Space Pirates, sugieren que pueden ser el mismo grupo de amenaza", dijeron los investigadores.
"Sin embargo, el uso común de este tipo de herramientas y el intercambio de las mismas entre los grupos de esta región puede ocultar el rastro de grupos de amenazas distintos, lo que probablemente sea una de las razones por las que se adopta este enfoque, siendo otra el costo, ya que el desarrollo de malware sofisticado puede ser caro tanto en términos de dinero como de tiempo."
bottom of page