Home Ciberguerra Grupo de hacking, construye un nuevo malware, a partir de puertas traseras...

Grupo de hacking, construye un nuevo malware, a partir de puertas traseras recicladas

La organización de piratas informáticos, Ke3chang, que históricamente se ha creído que opera en China, ha desarrollado un nuevo malware, llamado Ketrum, fusionando características y código fuente de sus antiguos backdoors, Ketrican y Okrum.

Las actividades de ciber-espionaje del grupo de amenazas persistentes avanzadas (APT) Ke3chang (también conocido como APT15, Vixen Panda, Playful Dragon, y Royal APT) llegan hasta el año 2010 según los investigadores de FireEye.

Las operaciones de Ke3chang se dirigen a una amplia gama de entidades militares y de la industria petrolera, así como a contratistas del gobierno y a misiones y organizaciones diplomáticas europeas.

Un nuevo informe de los investigadores de Intezer da cuenta de cómo descubrieron tres muestras de puertas traseras Ketrum, en este mes, en la plataforma VirusTotal, y las asociaron con los ciberespías chinos después de notar que reutilizaban tanto el código como las características de las puertas traseras Ketrican y Okrum de Ke3chang.

Las muestras de Ketrum que analizaron mostraron que los criminales no se han desviado de sus anteriores Tácticas, Técnicas y Procedimientos (TTPs) documentados.

La nueva puerta trasera sigue el mismo principio de proporcionar una puerta trasera básica que puede ser utilizada por los operadores de Ke3chang para tomar el control de un dispositivo dirigido, conectarse a él desde un servidor remoto, y pasar manualmente por los otros pasos de la operación.

Como descubrieron, además, el malware se conectó a un servidor de comando y control (C2) basado en China que dejó de funcionar a mediados de mayo después de que se detectaran las muestras de Ketrum.

Los investigadores de ESET fueron los que vieron las puertas traseras del grupo en 2015 y 2016, respectivamente, mientras investigaban los ataques contra varias misiones diplomáticas en todo el mundo.

Entre 2012 y 2015 Ke3chang utilizó el malware tipo TidePool RAT para recopilar información después de explotar el fallo de seguridad CVE-2015-2545 de Microsoft Office, mientras que de 2016 a 2017 el grupo desplegó las puertas traseras RoyalCLI y RoyalDNS en ataques dirigidos al gobierno del Reino Unido, intentando robar tecnología militar e información gubernamental.

En 2018, Ke3chang comenzó a usar otro implante, una variante del troyano de acceso remoto Mirage (RAT) llamado MirageFox.

Con información de: Bleeping Computer.