El grupo APT, Evasive Panda, pirateó canales de actualización de aplicaciones chinas legítimas y luego espió específicamente a miembros de una ONG, una organización no gubernamental. Según ESET, la puerta trasera de MgBot ingresó a la red a través de una actualización automática.
Investigadores del fabricante de seguridad de TI ESET han descubierto una nueva y sofisticada campaña del grupo APT (Advanced Persistent Threat), Evasive Panda. Esto pirateó los canales de actualización de aplicaciones chinas legítimas para distribuir el instalador de malware MgBot. Los usuarios chinos fueron el foco de esta actividad, que según la telemetría de ESET comenzó a principios de 2020. Los usuarios afectados estaban ubicados en las provincias de Gansu, Guangdong y Jiangsu y eran miembros de una organización no gubernamental (ONG) internacional.
Puerta trasera conocida como MgBot desde 2014
“Evasive Panda usa una puerta trasera llamada MgBot que ha tenido poco desarrollo desde que se descubrió en 2014. Hasta donde sabemos, este programa malicioso no ha sido utilizado por ningún otro grupo hasta el momento. Por lo tanto, podemos atribuir esta actividad a Evasive Panda con gran certeza”, dice el investigador de ESET Facundo Muñoz, quien detectó la campaña reciente. "Durante nuestra investigación, descubrimos que ejecutar actualizaciones automáticas de software legítimo también descargaba instaladores de puerta trasera de MgBot desde URL y direcciones IP limpias".
Debido a su arquitectura modular, MgBot puede expandir su funcionalidad una vez que el código malicioso se instala en la computadora comprometida. Las capacidades de la puerta trasera incluyen grabar pulsaciones de teclas, robar archivos, credenciales de inicio de sesión y contenido de las aplicaciones de mensajería Tencent QQ y WeChat, así como grabar transmisiones de audio y texto copiado en el portapapeles.
La cadena de ataque aún no está del todo clara
Cómo los atacantes lograron inyectar malware a través de actualizaciones legítimas no es XNUMX% seguro. Los investigadores de ESET sospechan con alta probabilidad que se trate de un compromiso de la cadena de suministro o de los llamados ataques AitM (adversario en el medio).
"Debido a la naturaleza dirigida de los ataques, asumimos que los piratas informáticos comprometieron los servidores de actualización de QQ. Esta era la única forma en que podían implementar un mecanismo con el que los usuarios pudieran identificarse específicamente y entregar el malware. De hecho, hemos registrado casos en los que se descargaron actualizaciones legítimas a través de los mismos protocolos abusados”, dice Muñoz. “Por otro lado, los enfoques AitM para la interceptación serían posibles. Sin embargo, esto supone que los atacantes manipularon dispositivos vulnerables como enrutadores o puertas de enlace y tuvieron acceso a la infraestructura del ISP”.
Sobre el grupo APT Evasive Panda
Evasive Panda (también conocido como BRONZE HIGHLAND y Daggerfly) es un grupo APT de idioma chino activo desde al menos 2012. Lleva a cabo un extenso ciberespionaje contra personas en China continental, Hong Kong, Macao y Nigeria. Se demostró que una de las víctimas de la campaña actual estaba en Nigeria y fue comprometida a través del software chino Mail Master de NetEase.
Más en ESET.com
Acerca de ESET ESET es una empresa europea con sede en Bratislava (Eslovaquia). Desde 1987, ESET ha estado desarrollando un software de seguridad galardonado que ya ha ayudado a más de 100 millones de usuarios a disfrutar de tecnologías seguras. La amplia cartera de productos de seguridad cubre todas las plataformas principales y ofrece a empresas y consumidores de todo el mundo el equilibrio perfecto entre rendimiento y protección proactiva. La empresa tiene una red de ventas global en más de 180 países y oficinas en Jena, San Diego, Singapur y Buenos Aires. Para obtener más información, visite www.eset.de o síganos en LinkedIn, Facebook y Twitter.