El actor amenazador de GoldenJackal

Un actor de amenazas menos conocido, conocido como GoldenJackal, ha sido asociado con una serie de ciberataques dirigidos a embajadas y organismos gubernamentales, con la intención de violar sistemas aislados a través de dos conjuntos de herramientas personalizados distintos.

Entre los objetivos se encuentran una embajada del sur de Asia ubicada en Bielorrusia y una organización gubernamental dentro de la Unión Europea (UE). El objetivo principal de GoldenJackal parece ser el robo de información confidencial, en particular de sistemas de alto perfil que pueden permanecer desconectados de Internet.

GoldenJackal ha estado activo durante años

GoldenJackal fue identificado por primera vez en mayo de 2023, cuando los investigadores informaron sobre los ataques del grupo de amenazas dirigidos contra entidades diplomáticas y gubernamentales en Oriente Medio y el sur de Asia. Las operaciones del grupo se remontan al menos a 2019. Un aspecto notable de estas intrusiones es la implementación de un gusano conocido como JackalWorm, que puede infectar unidades USB conectadas y distribuir un troyano denominado JackalControl.

Si bien no hay evidencia suficiente para asociar definitivamente estas actividades con una amenaza particular de un estado-nación, existen algunas similitudes tácticas con herramientas maliciosas utilizadas en campañas atribuidas a Turla y MoustachedBouncer, este último también centrado en embajadas extranjeras en Bielorrusia.

Varias amenazas de malware distribuidas por GoldenJackal

Los expertos en seguridad informática identificaron artefactos vinculados a GoldenJackal en una embajada del sur de Asia en Bielorrusia durante agosto y septiembre de 2019, y se hicieron más descubrimientos en julio de 2021. Cabe destacar que el actor de amenazas implementó con éxito un conjunto de herramientas completamente actualizado contra una entidad gubernamental de la Unión Europea entre mayo de 2022 y marzo de 2024.

La sofisticación demostrada en el desarrollo y la implementación de dos conjuntos de herramientas distintos diseñados específicamente para comprometer sistemas con espacio de aire durante cinco años resalta el ingenio del grupo.

Según se informa, el ataque a la embajada del sur de Asia en Bielorrusia utilizó tres familias de malware diferentes junto con JackalControl, JackalSteal y JackalWorm:

• GoldenDealer, que facilita la entrega de ejecutables a sistemas con espacio de aire a través de unidades USB comprometidas.
• GoldenHowl, una puerta trasera modular capaz de robar archivos, crear tareas programadas, cargar y descargar archivos hacia y desde un servidor remoto y establecer un túnel SSH.
• GoldenRobo, una herramienta diseñada para la recopilación de archivos y la exfiltración de datos.

El nuevo conjunto de herramientas amenazantes utilizadas en los ataques

En cambio, los ataques dirigidos contra la organización gubernamental anónima en Europa han empleado un conjunto completamente nuevo de herramientas de malware escritas principalmente en Go. Estas herramientas están diseñadas para recopilar archivos de unidades USB, propagar malware a través de ellas, extraer datos y utilizar determinados servidores de máquinas como servidores de prueba para distribuir cargas útiles a otros hosts:

• GoldenUsbCopy y su sucesor mejorado, GoldenUsbGo, que monitorean unidades USB y copian archivos para exfiltrarlos.
• GoldenAce, que se utiliza para difundir malware, incluida una versión ligera de JackalWorm, a otros sistemas (no necesariamente aislados) a través de unidades USB.
• GoldenBlacklist y su variante Python, GoldenPyBlacklist, que procesa mensajes de correo electrónico de interés para su futura exfiltración.
• GoldenMailer, que envía los datos recopilados a los atacantes por correo electrónico.
• GoldenDrive, que carga la información recopilada en Google Drive.

Actualmente, no está claro cómo GoldenJackal compromete inicialmente los entornos de destino. Sin embargo, los investigadores han sugerido anteriormente que los instaladores troyanizados de Skype y los documentos corruptos de Microsoft Word podrían servir como posibles puntos de entrada.

¿Cómo proceden los ataques del GoldenJackal?

GoldenDealer, una vez instalado en un ordenador conectado a Internet mediante un método no identificado, se activa cuando se inserta una unidad USB. Esta acción da como resultado la copia de sí mismo y de un componente de gusano desconocido en el dispositivo extraíble. Se cree que este componente desconocido se ejecuta cuando la unidad USB infectada se conecta a un sistema con espacio de aire, después de lo cual GoldenDealer recopila información sobre la máquina y la guarda en la unidad USB.

Cuando se vuelve a insertar el dispositivo USB en el ordenador conectado a Internet, GoldenDealer transfiere la información almacenada en la unidad a un servidor externo, que luego envía de vuelta las cargas útiles adecuadas para que se ejecuten en el sistema aislado. El malware también es responsable de copiar los ejecutables descargados a la unidad USB. En la etapa final, cuando el dispositivo se vuelve a conectar a la máquina aislada, GoldenDealer ejecuta los ejecutables copiados.

Además, GoldenRobo se ejecuta en el PC conectado a Internet y está diseñado para recuperar archivos de la unidad USB y enviarlos al servidor controlado por el atacante. Este malware, desarrollado en Go, deriva su nombre de una utilidad legítima de Windows llamada robocopy, que utiliza para realizar las transferencias de archivos.

Hasta el momento, los investigadores no han identificado un módulo separado responsable de transferir archivos desde la computadora con espacio de aire a la unidad USB.

La capacidad de implementar dos conjuntos de herramientas distintos para comprometer redes aisladas en tan solo cinco años demuestra que GoldenJackal es un actor de amenazas sofisticado que entiende las estrategias de segmentación de red que emplean sus objetivos.