El grupo chino de nivel nacional conocido como Camaro Dragon ha sido relacionado con otra puerta trasera diseñada para cumplir sus objetivos de recopilación de inteligencia.
La empresa israelà de ciberseguridad Check Point, que denominó al malware basado en Go TinyNote, dijo que funciona como una carga útil de primera etapa capaz de "enumeración básica de máquinas y ejecución de comandos a través de PowerShell o Goroutines".
Lo que le falta al malware en términos de sofisticación, lo compensa cuando se trata de establecer métodos redundantes para mantener el acceso al host comprometido mediante múltiples tareas de persistencia y métodos variados para comunicarse con diferentes servidores.
Camaro Dragon se superpone con un actor de amenazas ampliamente rastreado como Mustang Panda, un grupo patrocinado por el estado chino que se sabe que está activo desde al menos 2012.
El actor de amenazas estuvo recientemente en el centro de atención por un implante de firmware personalizado llamado Horse Shell que convierte los enrutadores TP-Link en una red en malla capaz de transmitir comandos hacia y desde los servidores de comando y control (C2). En otras palabras, el objetivo es ocultar la actividad maliciosa utilizando enrutadores domésticos comprometidos como infraestructura intermedia que permite que las comunicaciones con las computadoras infectadas se originen desde un nodo diferente.
Los últimos hallazgos demuestran la evolución y el crecimiento en la sofisticación de las tácticas de evasión y de los objetivos de los atacantes, sin mencionar la mezcla de herramientas personalizadas utilizadas para vulnerar las defensas de diferentes objetivos.
La puerta trasera TinyNote se distribuye utilizando nombres relacionados con asuntos exteriores (por ejemplo, "PDF_Lista de contactos de miembros diplomáticos invitados") y probablemente apunta a embajadas del sudeste y este de Asia. También es el primer artefacto conocido de Mustang Panda escrito en Golang. Un aspecto destacado del malware es su capacidad para eludir especÃficamente una solución antivirus indonesia llamada Smadav, lo que subraya su alto nivel de preparación y profundo conocimiento de los entornos de las vÃctimas.
"La puerta trasera TinyNote destaca el enfoque dirigido de Camaro Dragon y la extensa investigación que realizan antes de infiltrarse en los sistemas de sus vÃctimas previstas", dijo Check Point. "El uso simultáneo de esta puerta trasera junto con otras herramientas con diferentes niveles de avance técnico implica que los actores de amenazas buscan activamente diversificar su arsenal de ataques".
La revelación se produce cuando ThreatMon descubrió el uso de técnicas de living-off-the-land (LotL) por parte de APT41 (también conocido como Wicked Panda) para lanzar una puerta trasera de PowerShell aprovechando un ejecutable legÃtimo de Windows llamado forfiles. Eso no es todo. Altos funcionarios gubernamentales de naciones del G20 han sido objeto de una nueva campaña de phishing orquestada por otro actor de amenazas chino conocido como Sharp Panda, según Cyble.
Los correos electrónicos contienen versiones trampa de supuestos documentos oficiales, que utilizan el método de inyección de plantilla remota para recuperar el descargador de la siguiente etapa desde el servidor C2 utilizando el formato de texto enriquecido (RTF) de Royal Road. Cabe señalar que la cadena de infección mencionada es consistente con la actividad anterior de Sharp Panda, como lo evidenció recientemente Check Point en ataques dirigidos a entidades gubernamentales del sudeste asiático.
Además, se ha descubierto que el Ejército de Liberación Popular (ELP) de China utiliza información de código abierto disponible en internet y otras fuentes con fines de inteligencia militar para obtener una ventaja estratégica sobre Occidente. "El uso de información de código abierto por parte del ELP muy probablemente le proporciona una ventaja de inteligencia, ya que el entorno de información abierta de Occidente permite al ELP recopilar fácilmente grandes cantidades de datos de código abierto, mientras que los ejércitos occidentales deben lidiar con el entorno de información cerrada de China", señaló Recorded Future.
El análisis se basa en una lista de 50 registros de adquisiciones del PLA y la industria de defensa china que se publicaron entre enero de 2019 y enero de 2023. "Los proveedores de datos comerciales también deben tener en cuenta que el ejército y la industria de defensa de China podrÃan estar comprando sus datos con fines de inteligencia, y deben considerar llevar a cabo una debida diligencia al vender sus datos a entidades en China", dijo la compañÃa.
¿Quieres saber más?