Las organizaciones del este de Asia están siendo el objetivo de un probable actor de habla china apodado DragonSpark que emplea tácticas poco comunes para burlar las capas de seguridad.
«Los ataques se caracterizan por el uso del poco conocido SparkRAT de código abierto y de malware que intenta eludir la detección mediante la interpretación del código fuente Golang», afirma SentinelOne, en un análisis publicado ayer.
Un aspecto llamativo de las intrusiones es el uso constante de SparkRAT para llevar a cabo diversas actividades, como robar información, obtener el control de un host infectado o ejecutar instrucciones adicionales de PowerShell.
Por el momento se desconocen los objetivos finales del agente de la amenaza, aunque es probable que el motivo sea el espionaje o la ciberdelincuencia. Los vínculos de DragonSpark con China se derivan del uso de la shell web China Chopper para desplegar malware, una vía de ataque muy utilizada entre los actores de amenazas chinos.
Además, las herramientas de código abierto utilizadas en los ciberataques no sólo proceden de desarrolladores o empresas con vínculos con China, sino que la infraestructura para montar las cargas útiles se encuentra en Taiwán, Hong Kong, China y Singapur, algunas de las cuales pertenecen a empresas legítimas.
Los servidores de mando y control (C2), por su parte, están situados en Hong Kong y Estados Unidos, según la empresa de ciberseguridad.
Las vías de acceso iniciales consisten en comprometer servidores web expuestos a Internet y servidores de bases de datos MySQL para dejar caer el shell web de China Chopper. El punto de apoyo se aprovecha entonces para llevar a cabo el movimiento lateral, la escalada de privilegios y el despliegue de malware utilizando herramientas de código abierto como SharpToken, BadPotato y GotoHTTP.
También se envía a los hosts malware personalizado capaz de ejecutar código arbitrario y SparkRAT, un troyano de acceso remoto multiplataforma que puede ejecutar comandos del sistema, manipular archivos y procesos y desviar información de interés.
Otro malware digno de mención es m6699.exe, basado en Golang, que interpreta en tiempo de ejecución el código fuente que contiene para pasar desapercibido y lanzar un cargador de shellcode diseñado para ponerse en contacto con el servidor C2 con el fin de obtener y ejecutar el shellcode de la siguiente fase.