Una organización benéfica islámica sin fines de lucro con sede en Arabia Saudita ha sido blanco de una prolongada campaña de ciberespionaje. La campaña comenzó en mayo de 2023 e implicó tácticas sofisticadas empleadas por un actor de amenazas no identificado.
Según un nuevo aviso de la firma de ciberseguridad Talos, los atacantes, cuyo vector de acceso inicial no se reveló, utilizaron un malware denominado “Zardoor” para establecer persistencia dentro de la red de la organización objetivo.
Para evadir la detección, hicieron un uso extensivo de herramientas de proxy inverso de código abierto como Fast Reverse Proxy (FRP), sSocks y Venom. Estas herramientas se personalizaron para minimizar las dependencias y ejecutar comandos sin problemas.
Una vez dentro de la red, el actor de amenazas empleó el Instrumental de administración de Windows (WMI) para moverse lateralmente y ejecutar comandos de forma remota. Implementaron una serie de puertas traseras, incluidas “zar32.dll” y “zor32.dll”, para mantener el acceso y extraer datos de los sistemas comprometidos.
Para garantizar la persistencia, los atacantes emplearon diversas técnicas, incluida la manipulación de los servicios del sistema y la creación de tareas programadas. Además, utilizaron servidores proxy inversos para establecer comunicación con servidores externos, lo que dificultaba la detección de tráfico malicioso.
El uso de herramientas como FRP y Venom por parte del actor de amenazas subraya su sofisticación, ya que son herramientas legítimas reutilizadas para actividades maliciosas. Estas tácticas aumentan el sigilo del ataque y complican los esfuerzos para identificar y mitigar la amenaza.
A pesar de un análisis exhaustivo, Talos no pudo atribuir esta campaña a ningún actor de amenazas conocido. El nivel de experiencia demostrado por los atacantes, junto con su capacidad para crear y personalizar herramientas, sugería la participación de un adversario avanzado y hábil.