Un autor de amenazas chino rastreado como DragonSpark ha estado utilizando la herramienta de administración remota (RAT) de código abierto SparkRAT en ataques recientes dirigidos a organizaciones de Asia oriental, informa la firma de seguridad cibernética SentinelOne.
Relativamente nuevo, SparkRAT es un RAT multiplataforma escrito en Golang que puede ejecutarse en sistemas Windows, Linux y macOS, y que puede actualizarse con nuevas versiones disponibles a través de su servidor de comando y control (C&C).
La amenaza utiliza el protocolo WebSocket para comunicarse con el servidor C&C e incluye soporte para más de 20 comandos que le permiten ejecutar tareas, controlar la máquina infectada, manipular procesos y archivos y robar varios tipos de información.
El malware parece ser utilizado por múltiples adversarios pero, según SentinelOne, DragonSpark representa el primer grupo de actividad en el que SparkRAT se ha implementado constantemente en los ataques. También se vio a los atacantes usando el WebShell de China Chopper, junto con otras herramientas de malware creadas por desarrolladores chinos, incluidos BadPotato, GotoHTTP, SharpToken y XZB-1248, así como dos familias de malware personalizadas, ShellCode_Loader y m6699.exe.
El malware m6699.exe usa la interpretación del código fuente de Golang para evadir la detección, donde el marco Yaegi se usa "para interpretar en tiempo de ejecución el código fuente codificado de Golang almacenado dentro del binario compilado, ejecutando el código como si estuviera compilado", dice SentinelOne. Se observó que DragonSpark apuntaba a servidores web y servidores de bases de datos MySQL para un compromiso inicial y luego realizaba un movimiento lateral, aumentaba los privilegios y desplegaba malware adicional alojado en la infraestructura controlada por el atacante.
La firma de ciberseguridad ha observado que DragonSpark abusa de la infraestructura comprometida de organizaciones legítimas en Taiwán, incluida una galería de arte, un minorista de productos para bebés y sitios web de juegos y apuestas, para la puesta en escena de malware. DragonSpark también utiliza infraestructura de prueba de malware en China, Hong Kong y Singapur, mientras que sus servidores C&C están ubicados en Hong Kong y EE. UU.
Según la infraestructura y las herramientas, SentinelOne evalúa que DragonSpark es un adversario de habla china, centrado en el espionaje o el delito cibernético: una de sus direcciones IP de C&C se vinculó previamente al malware Zegost, un ladrón de información utilizado por los actores de amenazas chinos. “El actor de amenazas detrás de DragonSpark usó el webshell de China Chopper para implementar malware. Históricamente, China Chopper ha sido utilizada sistemáticamente por los ciberdelincuentes y grupos de espionaje chinos […]. Además, todas las herramientas de código abierto utilizadas por el actor de amenazas que realiza los ataques DragonSpark son desarrolladas por desarrolladores de habla china”, señala SentinelOne.