Home Ciberguerra El gobierno de EE.UU. advierte de una nueva cepa del virus chino...

El gobierno de EE.UU. advierte de una nueva cepa del virus chino “Taidoor”

Las agencias de inteligencia de EE.UU. han publicado información sobre una nueva variante de un virus informático de hace 12 años utilizado por los ciberdelincuentes patrocinados por el Estado chino, que tiene como objetivo los gobiernos, las empresas y los centros de investigación.

El malware, llamado “Taidoor”, ha hecho un “excelente” trabajo comprometiendo los sistemas ya en 2008, con los actores desplegándolo en las redes de las víctimas para un acceso remoto sigiloso.

El Comando Cibernético de los EE.UU. ha subido cuatro muestras del Taidoor RAT al repositorio público de malware VirusTotal para permitir que más de 50 compañías de antivirus comprueben la participación del virus en otras campañas no atribuidas.

Sin embargo, el malware en sí no es nuevo. En un análisis realizado por los investigadores de Trend Micro en 2012, se descubrió que los actores detrás de Taidoor aprovechaban los correos electrónicos de ingeniería social con archivos adjuntos PDF maliciosos para dirigirse al gobierno de Taiwán.

Calificándolo de “amenaza persistente y en constante evolución”, FireEye observó cambios significativos en sus tácticas en 2013, en las que “los archivos adjuntos maliciosos de los correos electrónicos no eliminaron el malware de Taidoor directamente, sino que eliminaron un ‘descargador’ que luego agarró el malware tradicional de Taidoor de Internet”.

Luego, en 2019, NTT Security descubrió evidencia de que la puerta trasera se usaba contra organizaciones japonesas a través de documentos de Microsoft Word. Cuando se abre, ejecuta el malware para establecer la comunicación con un servidor controlado por el atacante y ejecutar comandos arbitrarios.

Según el último aviso, esta técnica de utilizar documentos señuelo con contenido malicioso adjuntos a los correos electrónicos de spear-phishing no ha cambiado.

Además de ejecutar comandos remotos, Taidoor viene con características que le permiten recoger datos del sistema de archivos, capturar capturas de pantalla y realizar operaciones de archivo necesarias para exfiltrar la información recogida.

CISA recomienda que los usuarios y administradores mantengan actualizados los parches de su sistema operativo, desactiven los servicios de intercambio de archivos e impresoras, apliquen una política de contraseñas sólida y sean precavidos al abrir los archivos adjuntos de los correos electrónicos.

Con información de: SC Magazine.