Malware de puerta trasera EAGLET
El ciberespionaje continúa evolucionando, y actores de amenazas vinculados a estados emplean tácticas cada vez más engañosas. Uno de los incidentes más recientes involucra una elaborada campaña destinada a comprometer los sectores aeroespacial y de defensa de Rusia, utilizando una puerta trasera personalizada llamada EAGLET para la vigilancia encubierta y el robo de datos.
Tabla de contenido
Objetivo identificado: la industria aeroespacial rusa bajo asedio
La campaña, conocida como Operación CargoTalon, se ha atribuido a un clúster de amenazas denominado UNG0901 (Grupo Desconocido 901). Este grupo tiene en la mira a la Asociación de Producción de Aeronaves de Vorónezh (VASO), una importante empresa rusa de fabricación de aeronaves. Los atacantes emplean tácticas de phishing selectivo que explotan los documentos de transporte de carga (TTN), un tipo de documento crucial para las operaciones logísticas en Rusia.
Cómo se desarrolla el ataque: señuelos armados y despliegue de malware
La cadena de infección comienza con correos electrónicos de phishing selectivo que contienen contenido falso sobre entregas de carga. Estos mensajes incluyen archivos ZIP que contienen un archivo de acceso directo de Windows (LNK). Al ejecutarse, el archivo LNK usa PowerShell para abrir un documento falso de Microsoft Excel e instalar simultáneamente la puerta trasera EAGLET DLL en el sistema comprometido.
El documento señuelo hace referencia a Obltransterminal, un operador de terminales de contenedores ferroviarios ruso sancionado por la Oficina de Control de Activos Extranjeros (OFAC) del Tesoro de Estados Unidos en febrero de 2024, una medida probablemente destinada a agregar credibilidad y urgencia al señuelo.
Dentro de EAGLET: Capacidades y comunicación C2
La puerta trasera EAGLET es un implante sigiloso diseñado para la recopilación de inteligencia y el acceso persistente. Sus capacidades incluyen:
- Recopilación de información del sistema
- Conexión a un servidor C2 codificado en la dirección IP 185.225.17.104
- Análisis de respuestas HTTP para recuperar comandos para su ejecución
El implante cuenta con acceso interactivo a la carcasa y admite operaciones de carga y descarga de archivos. Sin embargo, debido a la actual desconexión del servidor de Comando y Control (C2), los analistas no han podido determinar el alcance total de las posibles cargas útiles de la siguiente etapa.
Vínculos con otros actores de amenazas: EAGLET y Head Mare
La evidencia sugiere que UNG0901 no opera de forma aislada. Se han observado campañas similares que utilizan EAGLET y que atacan a otras entidades del sector militar ruso. Estas operaciones revelan vínculos con otro grupo de amenazas conocido como Head Mare, identificado por su enfoque en organizaciones rusas.
Los indicadores clave de superposición incluyen:
- Similitudes del código fuente entre los conjuntos de herramientas EAGLET y Head Mare
- Convenciones de nombres compartidas en archivos adjuntos de phishing
Similitudes funcionales entre EAGLET y PhantomDL, una puerta trasera basada en Go conocida por sus capacidades de shell y transferencia de archivos
Puntos clave: Señales de advertencia y amenazas persistentes
Esta campaña destaca la creciente precisión de las operaciones de phishing selectivo, especialmente las que utilizan señuelos específicos de dominio, como documentos TTN. El uso de entidades autorizadas en archivos señuelo, combinado con malware personalizado como EAGLET, ilustra una tendencia creciente en campañas de espionaje altamente dirigidas contra infraestructuras críticas.
Indicadores de compromiso y señales de alerta a tener en cuenta:
- Correos electrónicos que hacen referencia a documentos de carga o entrega de entidades rusas sancionadas.
- Archivos adjuntos ZIP sospechosos que contienen archivos LNK que ejecutan comandos de PowerShell.
- Conexiones salientes a IP desconocidas.
Los profesionales de la ciberseguridad deben permanecer alerta ante las tácticas cambiantes de actores de amenazas como UNG0901, especialmente cuando apuntan a sectores sensibles con implantes de malware personalizados y kits de herramientas superpuestos.
