Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Malware sin archivos EggStreme

Malware sin archivos EggStreme

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

Una empresa militar filipina ha sido víctima de una sofisticada campaña de ciberespionaje vinculada a un grupo de amenazas persistentes avanzadas (APT) que se cree proviene de China. Los atacantes utilizaron un framework de malware sin archivos previamente desconocido, denominado EggStreme, diseñado para mantener un acceso discreto y a largo plazo a los sistemas comprometidos.

El marco EggStreme: multietapa y sin archivos

EggStreme no es un único malware, sino un conjunto de componentes estrechamente integrados. Su cadena de infección comienza con EggStremeFuel (mscorsvc.dll), que perfila el sistema antes de implementar EggStremeLoader para establecer la persistencia. A continuación, EggStremeReflectiveLoader, que activa la puerta trasera principal, EggStremeAgent.

La ejecución sin archivos del framework garantiza que el código malicioso se ejecute completamente en memoria, dejando rastros mínimos en el disco. Además, el uso de la carga lateral de DLL a lo largo de la cadena de ataque dificulta la detección y el análisis forense.

EggStremeAgent: El sistema nervioso central

En el núcleo del framework se encuentra EggStremeAgent, una puerta trasera completamente funcional que funciona como el principal centro de control del atacante. Permite el reconocimiento del sistema, la escalada de privilegios y el movimiento lateral, a la vez que implementa EggStremeKeylogger para capturar las pulsaciones de teclas en las sesiones de usuario activas.

La puerta trasera se comunica con su infraestructura de comando y control (C2) a través del protocolo de llamada a procedimiento remoto de Google (gRPC) y admite un total de 58 comandos, que van desde la exfiltración de datos y la ejecución de código shell hasta la inyección de carga útil.

Un implante auxiliar, EggStremeWizard (xwizards.dll), proporciona a los atacantes un shell inverso y capacidades de transferencia de archivos. Su diseño incorpora múltiples servidores C2, lo que garantiza la resiliencia incluso si un servidor sufre una interrupción.

Capacidades de EggStremeFuel

El módulo inicial, EggStremeFuel, se encarga del reconocimiento y la comunicación con la infraestructura de los atacantes. Permite a los operadores:

  • Recopilar información de la unidad del sistema.
  • Inicie cmd.exe y mantenga la comunicación a través de tuberías.
  • Transmita la dirección IP externa de la máquina utilizando myexternalip.com/raw.
  • Leer archivos locales y remotos, guardando o transmitiendo su contenido.
  • Volcar datos de configuración en memoria al disco.
  • Cierre las conexiones cuando sea necesario.

Tácticas, técnicas y herramientas

Los actores de amenazas emplean sistemáticamente la carga lateral de DLL mediante la ejecución de binarios legítimos que cargan DLL maliciosas. También integran la utilidad de proxy Stowaway para consolidar su presencia en las redes internas. Combinadas con el flujo de ejecución sin archivos del malware, estas técnicas permiten que la operación se integre en la actividad normal del sistema y eluda la detección de las herramientas de seguridad tradicionales.

Contexto geopolítico y desafíos de atribución

Los ataques a entidades filipinas por parte de grupos vinculados a China no son nuevos y probablemente estén influenciados por las actuales disputas territoriales en el Mar de China Meridional que involucran a China, Vietnam, Filipinas, Taiwán, Malasia y Brunei.

Aunque esta campaña específica no se ha atribuido a ningún grupo APT chino conocido, sus objetivos e intereses coinciden con los históricamente asociados a actores patrocinados por el Estado chino. Los investigadores comenzaron a rastrear la actividad a principios de 2024, pero aún no la han vinculado de forma concluyente con un grupo de amenazas existente.

Una amenaza persistente y evasiva

La familia de malware EggStreme destaca por su alto nivel de sofisticación, persistencia y adaptabilidad. Su uso de técnicas sin archivos, ejecución en múltiples etapas e infraestructura C2 redundante subraya el profundo conocimiento de los operadores sobre las medidas defensivas modernas. Para los defensores, esta campaña sirve como recordatorio del cambiante panorama de amenazas y la importancia de las estrategias proactivas de detección y respuesta.

Tendencias

Mas Visto

Cargando...