CrimsonIAS Backdoor
Los investigadores han descubierto una nueva amenaza de puerta trasera basada en Delphi que ha estado activa desde al menos 2017. Si está completamente implementado, el malware permite a los atacantes ejecutar comandos arbitrarios mediante la ejecución de herramientas de línea de comandos, exfiltrar archivos seleccionados o colocar archivos adicionales en la máquina comprometida. El análisis reveló que CrimsonIAS Backdoor exhibe un rasgo peculiar que no se ve con frecuencia entre este tipo de malware: en lugar de actuar como una baliza, como la mayoría de las puertas traseras basadas en Windows, CrimsonIAS Backdoor se ejecuta solo en modo de escucha mientras espera conexiones entrantes. Esto indica que la máquina objetivo debe estar abierta a la Internet pública o que los atacantes tienen alguna otra forma de acceder a la red de la víctima.
Aunque no es suficiente para actuar como evidencia sólida, los investigadores descubrieron que varias características de CrimsonIAS Backdoor son similares a aspectos de las muestras de PlugX corruptas utilizadas en las operaciones del grupo de hackers Mustang Panda (también conocido como BRONZE PRESIDENT y RedDelta). Se cree que el grupo es un actor de espionaje con sede en China que concentra sus actividades principalmente en objetivos de Mongolia, Vietnam y Hong Kong. Entre su rango habitual de objetivos se encuentran organizaciones no gubernamentales (ONG), entidades políticas y agencias de aplicación de la ley. Las tres similitudes principales entre CrimsonIAS Backdoor y las muestras MustangPanda PlugX son el uso de una clave XOR de 10 bytes antepuesta al binario cifrado, similitudes de shellcode en el encabezado MZ y el uso de una función de cargador exportada.
Los piratas informáticos detrás de CrimsonIAS Backdoor han estado introduciendo nuevas técnicas a las capacidades de la amenaza de manera constante para seguir el ritmo de las tendencias modernas, aunque la tasa de mejora no es suficiente para decir que CrimsonIAS Backdoor todavía está en desarrollo activo. El mayor cambio se puede observar en la forma en que se ejecuta el código dañado. En versiones anteriores, la funcionalidad de puerta trasera se iniciaba a través de un servicio de Windows registrado y se lanzaba a través de una función exportada CPIApplet. Las versiones más recientes de la amenaza se han alejado por completo de ese método y ahora emplean una técnica de cargador reflectante, una característica que se observa en varias familias de malware diferentes.
