El actor chino de estado-nación conocido como Mustang Panda ha sido vinculado a un nuevo conjunto de ataques sofisticados y selectivos dirigidos a entidades europeas de asuntos exteriores desde enero de 2023.
Un análisis de estas intrusiones, según los investigadores de Check Point Itay Cohen y Radoslaw Madej, ha revelado un implante de firmware personalizado diseñado explícitamente para routers TP-Link.
“El implante cuenta con varios componentes maliciosos, incluyendo una puerta trasera personalizada llamada ‘Horse Shell’ que permite a los atacantes mantener un acceso persistente, construir una infraestructura anónima y permitir el movimiento lateral en las redes comprometidas”, dijo la compañía.
“Debido a su diseño agnóstico de firmware, los componentes del implante pueden integrarse en varios firmware de diferentes proveedores”.
La empresa israelí de ciberseguridad sigue la pista del grupo de amenazas bajo el nombre de Camaro Dragon, también conocido como BASIN, Bronze President, Earth Preta, HoneyMyte, RedDelta y Red Lich.
Por el momento se desconoce el método exacto utilizado para desplegar las imágenes de firmware manipuladas en los routers infectados, así como su uso e implicación en los ataques reales. Se sospecha que el acceso inicial puede haberse obtenido explotando fallos de seguridad conocidos o forzando los dispositivos con contraseñas predeterminadas o fáciles de adivinar.
Lo que sí se sabe es que el implante Horse Shell basado en C++ proporciona a los atacantes la capacidad de ejecutar comandos shell arbitrarios, cargar y descargar archivos desde y hacia el router, y retransmitir la comunicación entre dos clientes diferentes.
Pero en un giro interesante, se cree que la puerta trasera del router se dirige a dispositivos arbitrarios en redes residenciales y domésticas, lo que sugiere que los routers comprometidos están siendo cooptados en una red de malla con el objetivo de crear una “cadena de nodos entre las infecciones principales y el comando y control real”.
Al retransmitir las comunicaciones entre los routers infectados mediante un túnel SOCKS, la idea es introducir una capa adicional de anonimato y ocultar el servidor final, ya que cada nodo de la cadena sólo contiene información sobre los nodos que le preceden y suceden.
Dicho de otro modo, los métodos ocultan el origen y el destino del tráfico de forma análoga a TOR, lo que hace mucho más difícil detectar el alcance del ataque y desbaratarlo.
“Si un nodo de la cadena se ve comprometido o cae, el atacante puede mantener la comunicación con el C2 enrutando el tráfico a través de otro nodo de la cadena”, explicaron los investigadores.
