La evidencia sugiere que las nuevas versiones de las familias de malware están vinculadas al elusivo grupo Ke3chang, junto con una puerta trasera no reportada anteriormente, según expertos de ESET.
Los investigadores emitieron un comunicado de prensa, en el que informaron que han estado siguiendo durante mucho tiempo al grupo de amenaza persistente avanzada (APT) y sospechan que opera fuera de China.
Nombrado Okrum por ESET, el programa malicioso se detectó por primera vez a finales de 2016 cuando se utilizó para atacar a misiones diplomáticas e instituciones gubernamentales en Bélgica, Eslovaquia, Brasil, Chile y Guatemala. Sin embargo, los investigadores han visto múltiples variaciones de las familias de malware y han atribuido la actividad al grupo Ke3chang.
“En una investigación que se remonta a 2015, ESET identificó nuevas actividades sospechosas en países europeos. El grupo detrás de los atentados parecía tener un interés particular en Eslovaquia, pero también se vieron afectados Croacia, la República Checa y otros países. Analizando el malware utilizado en estos ataques, los investigadores de ESET encontraron que estaba vinculado a familias de malware conocidas atribuidas al grupo Ke3chang, y apodaron a estas nuevas versiones Ketrican”, afirma la versión.
“Comenzamos a conectar los puntos cuando descubrimos que la puerta trasera de Okrum se usaba para soltar una puerta trasera de Ketrican, compilada en 2017. Además de eso, encontramos que algunas entidades diplomáticas que fueron afectadas por el malware de Okrum y las puertas traseras de Ketrican 2015 también fueron afectadas por las puertas traseras de Ketrican 2017”, indicó Zuzana Hromcova, la investigadora de ESET que hizo los descubrimientos.
El grupo ha permanecido activo en 2019. Recientemente, en marzo, los investigadores “detectaron una nueva muestra de Ketrican que ha evolucionado desde la puerta trasera de Ketrican 2018. Afectó a los mismos objetivos que la puerta trasera a partir de 2018”, según la investigación.
Okrum puede hacerse pasar por un usuario conectado al contexto de seguridad del usuario usando una llamada a la API de Suplente de Usuario para obtener privilegios de administrador. A continuación, recopila automáticamente información sobre el equipo infectado, incluido el nombre del equipo, el nombre de usuario, la dirección IP del host, el valor del sufijo DNS principal, la versión del sistema operativo, el número de compilación, la arquitectura, la cadena del agente de usuario y la información de localización (nombre del idioma, nombre del país), añade el informe.
Con información de: ESET.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian