El grupo chino conocido como Alloy Taurus utiliza una variante para Linux de una puerta trasera llamada PingPull, así como una nueva herramienta indocumentada con el nombre en clave Sword2033.
Así se desprende de los hallazgos de la Unidad 42 de Palo Alto Networks, que descubrió ciberactividades maliciosas recientes llevadas a cabo por el grupo contra Sudáfrica y Nepal.
Alloy Taurus es el nombre de constelación asignado a un actor de amenazas conocido por sus ataques contra empresas de telecomunicaciones desde al menos 2012. También ha sido rastreado por Microsoft como Granite Typhoon (antes Gallium).
En marzo, se atribuyó al adversario una campaña llamada Tainted Love dirigida a proveedores de telecomunicaciones en Oriente Medio como parte de una operación más amplia denominada Soft Cell.
Los recientes ataques de ciberespionaje organizados por Alloy Taurus también han ampliado su huella victimológica para incluir instituciones financieras y entidades gubernamentales.
PingPull, documentado por primera vez por Unit 42 en junio de 2022, es un troyano de acceso remoto que utiliza el protocolo de mensajes de control de Internet (ICMP) para las comunicaciones de mando y control (C2).
La versión Linux del malware cuenta con funcionalidades similares a las de su homólogo Windows, lo que le permite realizar operaciones con archivos y ejecutar comandos arbitrarios mediante la transmisión desde el servidor C2 de un único carácter en mayúsculas comprendido entre la A y la K, y la M.
Curiosamente, el análisis de PingPull de las instrucciones C2 es similar al de China Chopper, una shell web muy utilizada por los actores de amenazas chinos, lo que sugiere que el actor de amenazas está reutilizando código fuente existente para diseñar herramientas personalizadas.
Un examen más detallado del dominio antes mencionado también ha revelado la existencia de otro artefacto ELF (es decir, Sword2033) que soporta tres funciones básicas, incluyendo la carga y exfiltración de archivos y la ejecución de comandos.
La vinculación del malware con Alloy Taurus se debe a que el dominio se resolvía en una dirección IP que ya había sido identificada como un indicador activo de compromiso (IoC) asociado a una campaña anterior dirigida a empresas que operaban en el sudeste asiático, Europa y África.
