Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Puertas traseras Puerta trasera DarkNimbus

Puerta trasera DarkNimbus

Por Mezo en Puertas traseras, Amenaza persistente avanzada (APT), Malware móvil
Traducir a:
Español

Un grupo de amenazas no identificado hasta ahora, ahora denominado Earth Minotaur, ha surgido como un actor importante en la vigilancia cibernética. Mediante el uso de herramientas sofisticadas como el kit de explotación MOONSHINE y una puerta trasera recientemente identificada llamada DarkNimbus, Earth Minotaur ha demostrado su capacidad para atacar dispositivos Android y Windows en un esfuerzo calculado para infiltrarse y monitorear a las comunidades tibetana y uigur.

El kit de explotación MOONSHINE: una puerta de entrada para amenazas multiplataforma

El kit de explotación MOONSHINE es fundamental para las operaciones de Earth Minotaur. Originalmente documentado en 2019 durante los ciberataques a objetivos tibetanos, MOONSHINE explota vulnerabilidades en navegadores y aplicaciones basados en Chromium para entregar sus cargas útiles. Desde entonces ha evolucionado e incorpora vulnerabilidades adicionales como CVE-2020-6418, una falla en el motor de JavaScript V8 parcheada por Google a principios de 2020.

El kit de explotación es notablemente versátil. Se dirige a aplicaciones como Google Chrome, WeChat, QQ y LINE y está diseñado para infiltrarse en los dispositivos de las víctimas a través de enlaces corruptos. Estos enlaces suelen estar camuflados como contenido benigno, como anuncios o multimedia relacionados con las comunidades tibetana y uigur, para maximizar la eficacia de las tácticas de ingeniería social.

DarkNimbus: una puerta trasera versátil e intrusiva

Una vez que MOONSHINE obtiene acceso a un dispositivo, entrega la puerta trasera DarkNimbus, una herramienta diseñada específicamente para la vigilancia a largo plazo.

DarkNimbus en Android

La variante de DarkNimbus para Android es excepcionalmente intrusiva y utiliza el protocolo XMPP para comunicarse con sus operadores. Está equipada para extraer datos confidenciales, entre ellos:

  • Metadatos del dispositivo
  • Datos de geolocalización
  • Historial de llamadas
  • Contactos y mensajes
  • Marcadores del navegador y contenido del portapapeles

DarkNimbus también aprovecha los servicios de accesibilidad de Android para interceptar mensajes de aplicaciones de comunicación populares como WhatsApp, WeChat y Skype. Además, puede ejecutar comandos de shell, grabar llamadas, realizar capturas de pantalla e incluso desinstalarse para evadir su detección.

DarkNimbus en Windows

Aunque tiene menos funciones, la versión para Windows sigue siendo una potente herramienta de exfiltración de datos. Activa desde finales de 2020, puede capturar información del sistema, pulsaciones de teclas, datos del portapapeles, credenciales guardadas e historial del navegador.

Ingeniería social y cadenas de exploits: la anatomía de un ataque

El Minotauro de la Tierra recurre en gran medida a la ingeniería social para atraer a las víctimas a su trampa. Los enlaces amenazantes integrados en las aplicaciones de mensajería instantánea redirigen a las víctimas a uno de los más de 55 servidores de explotación de MOONSHINE. Estos servidores implementan diversas estrategias en función del dispositivo y la configuración del navegador de la víctima:

  • Ejecución de exploits : si se identifican vulnerabilidades, el servidor instala la puerta trasera DarkNimbus.
  • Redirección de phishing : si las vulnerabilidades fallan, las víctimas pueden encontrar páginas de phishing que les instan a actualizar sus navegadores, lo que puede generar más ataques.

En algunos casos, el ataque implica degradar el motor del navegador dentro de aplicaciones como WeChat, reemplazándolo con una versión troyanizada que facilita el acceso persistente.

El alcance global del Minotauro de la Tierra

Las actividades del grupo no están limitadas geográficamente. Se han identificado víctimas en 18 países, incluidos Estados Unidos, Canadá, India, Alemania y Taiwán, lo que pone de relieve el alcance mundial de sus operaciones.

Si bien MOONSHINE se ha asociado con otros grupos amenazantes como POISON CARP y Earth Empusa, Earth Minotaur opera de forma independiente. El enfoque del grupo en las comunidades tibetana y uigur se alinea con campañas similares de adversarios como Evasive Panda y Scarlet Mimic. Sin embargo, Earth Minotaur se destaca por su uso de herramientas altamente adaptables y cadenas de infección sofisticadas.

La evolución continua de MOONSHINE

MOONSHINE sigue siendo un conjunto de herramientas en desarrollo activo que comparten varios actores de amenazas, incluidos UNC5221 y Earth Minotaur. Su continuo perfeccionamiento subraya la persistencia de los adversarios que atacan a las comunidades vulnerables.

Reflexiones finales: reconocer y mitigar la amenaza

El Minotauro de la Tierra ejemplifica la creciente complejidad de los ciberataques dirigidos. Se insta a los usuarios a mantener actualizado el software, tener cuidado con los enlaces no solicitados y permanecer alerta ante los intentos de phishing. A medida que los actores de amenazas perfeccionan sus tácticas, las medidas de ciberseguridad proactivas siguen siendo la primera línea de defensa contra amenazas en evolución como el Minotauro de la Tierra.

Tendencias

Mas Visto

Cargando...