Cargador espía

Se ha observado que se implementó una nueva herramienta de malware como parte de las operaciones de ataque aún activas rastreadas como CuckooBees. La amenaza dañina se conoce como Spyder Loader y tiene capacidades de recopilación de datos. Cabe señalar que Spyder Loader ha sido utilizado en el pasado por operaciones asociadas con APT41 (Winnti, Bario, Wicked Panda y Bronze Atlas), pero fue una adición posterior específicamente a CuckooBees. Los detalles sobre la amenaza y la campaña de ataque se proporcionaron en un informe de los investigadores de seguridad.

El grupo de ciberdelincuentes APT41 está considerado como uno de los más antiguos, ya que se cree que ha estado en funcionamiento desde al menos 2007. También es uno de los grupos de amenazas APT (Advanced Persistent Threat) más activos, con numerosas campañas de ataque en todo el mundo. años. En cuanto a CuckooBee, la operación ha estado pasando desapercibida desde al menos 2019, y parece estar dirigida principalmente a entidades seleccionadas con sede en Hong Kong.

Detalles del cargador Spyder

Según los investigadores, el Spyder Loader es una amenaza modular sofisticada. Además de eso, la amenaza ha visto múltiples actualizaciones y los piratas informáticos continúan mejorando. El objetivo principal de la amenaza es recolectar y luego exfiltrar datos confidenciales. Los tres tipos principales de datos que interesan a los ciberdelincuentes son las credenciales de la organización violada, los datos del cliente y la información sobre su arquitectura de red.

Spyder Loader está equipado con múltiples técnicas para evitar el análisis, como el uso del algoritmo ChaCha20 para cifrar y ofuscar sus cadenas. Además, se puede indicar a la amenaza que elimine el archivo de carga útil 'wlbsctrl.dll' y elimine artefactos adicionales que podrían revelar sus acciones o su presencia en el dispositivo.