Un grupo de amenazas dirigido a China, previamente indocumentado, denominado “LongNosedGoblin”, se ha atribuido a una serie de ciberataques dirigidos a entidades gubernamentales en el sudeste asiático y Japón.
El objetivo final de estos ataques es el ciberespionaje, afirmó la empresa eslovaca de ciberseguridad ESET en un informe publicado hoy. Se evaluó que el grupo de actividad de amenazas había estado activo desde al menos septiembre de 2023.
“LongNosedGoblin utiliza la Política de grupo para implementar malware en toda la red comprometida y los servicios en la nube (por ejemplo, Microsoft OneDrive y Google Drive) como servidores de comando y control (C&C)”, dijeron los investigadores de seguridad Anton Cherepanov y Peter Strýček.
La política de grupo es un mecanismo para administrar la configuración y los permisos en computadoras con Windows. Según Microsoft, la Política de grupo se puede utilizar para definir configuraciones para grupos de usuarios y computadoras cliente, así como para administrar computadoras servidor.
Los ataques se caracterizan por el uso de un conjunto diverso de herramientas personalizadas que consiste principalmente en aplicaciones C#/.NET.
- NosyHistorian para capturar el historial de navegación de Google Chrome, Microsoft Edge y Mozilla Firefox
- NosyDoor, una puerta trasera que utiliza Microsoft OneDrive como C&C y ejecuta comandos que le permiten filtrar archivos, eliminar archivos y ejecutar comandos de shell.
- NosyStealer filtrará datos del navegador de Google Chrome y Microsoft Edge a Google Drive en forma de un archivo TAR cifrado
- NosyDownloader para descargar y ejecutar una carga útil en la memoria, p. P.ej. NosyLogger
- NosyLogger, una versión modificada de DuckSharp utilizada para registrar pulsaciones de teclas
 |
| Cadena de ejecución de NosyDoor |
ESET dijo que descubrió por primera vez actividad relacionada con el grupo de piratería en un sistema de una agencia gubernamental en el sudeste asiático en febrero de 2024 y finalmente determinó que la Política de grupo se utilizó para propagar el malware a múltiples sistemas de la misma organización. Actualmente se desconocen los métodos exactos de acceso inicial utilizados en los ataques.
Un análisis más detallado reveló que, si bien muchas víctimas se vieron afectadas por NosyHistorian entre enero y marzo de 2024, solo una parte de estas víctimas fueron infectadas con NosyDoor, lo que sugiere un enfoque más específico. En algunos casos, se ha descubierto que el cuentagotas utilizado para implementar la puerta trasera mediante la inyección de AppDomainManager contiene “barandillas de seguridad de ejecución” diseñadas para limitar las operaciones a las computadoras de víctimas específicas.
LongNosedGoblin también utiliza otras herramientas como un proxy SOCKS5 inverso, una utilidad que ejecuta una grabadora de video para grabar audio y video, y un cargador Cobalt Strike.
La firma de ciberseguridad señaló que el arte del actor de amenazas tiene una débil superposición con los grupos rastreados como ToddyCat y Erudite Mogwai, pero destacó la falta de evidencia clara que los vincule. Sin embargo, las similitudes entre NosyDoor y LuckyStrike Agent y la presencia de la frase “Versión paga” en la ruta PDB de LuckyStrike Agent han planteado la posibilidad de que el malware se esté vendiendo o concediendo licencias a otros actores de amenazas.
“Más tarde identificamos otro caso de una variante de NosyDoor dirigida a una organización en un país de la UE, nuevamente implementando diferentes TTP y utilizando el servicio en la nube Yandex Disk como servidor C&C”, señalaron los investigadores. “El uso de esta variante NosyDoor sugiere que el malware puede compartirse entre múltiples grupos de amenazas alineados con China”.
About The Author
