Se ha informado que un grupo estatal chino ha estado dirigiéndose a los ministerios de Asuntos Exteriores y embajadas en Europa utilizando una técnica llamada "HTML smuggling" (contrabando de HTML). Esta campaña, conocida como SmugX, ha estado activa desde al menos diciembre de 2022. El grupo está utilizando una nueva variante del troyano de acceso remoto PlugX, que está comúnmente asociado con actores de amenazas chinos. La carga útil sigue siendo similar a las versiones anteriores de PlugX, pero los métodos de entrega utilizados en esta campaña permiten una detección baja, lo que hasta hace poco ayudó a que pasara desapercibida.
La identidad exacta del actor de amenazas detrás de la operación es un poco confusa, aunque las pistas existentes apuntan hacia Mustang Panda, que también tiene similitudes con los grupos conocidos como Earth Preta, RedDelta y Camaro Dragon según la designación de Check Point.
Sin embargo, la empresa afirma que en esta etapa hay "evidencia insuficiente" para atribuirlo de manera concluyente a este colectivo adversario. La secuencia de ataque más reciente es significativa por el uso de "HTML smuggling" (contrabando de HTML), una técnica sigilosa en la que se abusa de caracterÃsticas legÃtimas de HTML5 y JavaScript para ensamblar y lanzar el malware en los documentos engañosos adjuntos a correos electrónicos de spear-phishing.
"El contrabando de HTML utiliza atributos de HTML5 que pueden funcionar sin conexión almacenando un binario en un bloque de datos inmutable dentro del código JavaScript", señaló Trustwave en febrero de este año. "El bloque de datos o la carga útil incrustada se descodifican en un objeto de archivo cuando se abre a través de un navegador web".
Un análisis de los documentos, que se subieron a la base de datos de malware VirusTotal, revela que están diseñados para dirigirse a diplomáticos y entidades gubernamentales en la República Checa, HungrÃa, Eslovaquia, Reino Unido, Ucrania, y probablemente también Francia y Suecia.
En un caso, se dice que el actor de amenazas utilizó un señuelo relacionado con los uigures ("China intenta bloquear a un destacado orador uigur en la ONU.docx") que, al abrirse, envÃa una señal a un servidor externo mediante un pÃxel de seguimiento incrustado e invisible para exfiltrar datos de reconocimiento. El proceso de infección de múltiples etapas utiliza métodos de carga lateral DLL para descifrar y lanzar la carga útil final, PlugX.
También conocido como Korplug, el malware se remonta a 2008 y es un troyano modular capaz de alojar "diversos complementos con funcionalidades distintas" que permiten a los operadores llevar a cabo el robo de archivos, capturas de pantalla, registro de pulsaciones de teclas y ejecución de comandos.
"Durante el transcurso de nuestra investigación de las muestras, el actor de amenazas envió un script por lotes, enviado desde el servidor de C&C, destinado a borrar cualquier rastro de sus actividades", dijo Check Point.
"Este script, llamado del_RoboTask Update.bat, elimina el ejecutable legÃtimo, la DLL del cargador de PlugX y la clave de registro implementada para la persistencia, y finalmente se borra a sà mismo. Es probable que esto sea el resultado de que los actores de amenazas se dieran cuenta de que estaban bajo escrutinio".
¿Quieres saber más?