Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware de Linux Puerta trasera de GoGra Linux

Puerta trasera de GoGra Linux

Por Mezo en Malware de Linux, Amenaza persistente avanzada (APT), Puertas traseras
Traducir a:

El grupo de ciberdelincuentes conocido como Harvester ha sido vinculado a una nueva variante de Linux de su puerta trasera GoGra, lo que indica una continua expansión de sus operaciones de ciberespionaje. Se cree que estos ataques se dirigen principalmente a entidades del sur de Asia, y las pruebas forenses apuntan a que la actividad se origina en India y Afganistán. Esto sugiere una campaña de recopilación de inteligencia específica dirigida a organizaciones de estas regiones.

Infiltración sigilosa a través de canales de confianza: Abuso de la infraestructura en la nube

Una característica distintiva de esta campaña es el abuso de servicios legítimos en la nube para comunicaciones encubiertas. El malware utiliza la API de Microsoft Graph junto con los buzones de Outlook como un canal de comando y control (C2) oculto. Al integrar comunicaciones maliciosas en plataformas de confianza, los atacantes eluden eficazmente las defensas perimetrales tradicionales, lo que dificulta considerablemente su detección.

De Graphon a GoGra: Evolución de un actor de amenazas

Harvester saltó a la luz pública a finales de 2021, cuando se la asoció con una campaña de robo de información dirigida a los sectores de telecomunicaciones, gobierno y TI en el sur de Asia. Durante esa fase, el grupo desplegó un implante personalizado conocido como Graphon, que también utilizaba la API de Microsoft Graph para la comunicación C2.

En agosto de 2024, nuevas actividades vincularon al grupo con una operación contra una organización de medios de comunicación de la región. Esta operación introdujo GoGra , una puerta trasera basada en Go hasta entonces desconocida. Hallazgos recientes confirman que Harvester ha extendido esta capacidad más allá de los entornos Windows, desplegando ahora una variante específica para Linux de la misma familia de malware.

Entrada engañosa: ingeniería social y tácticas de ejecución

La infección inicial se basa en gran medida en técnicas de ingeniería social. Las víctimas son manipuladas para que abran archivos binarios ELF disfrazados de documentos PDF. Una vez ejecutado, el programa malicioso muestra un documento señuelo para mantener la ilusión de legitimidad mientras despliega silenciosamente la puerta trasera en segundo plano.

Flujo de trabajo de mando y control: precisión y persistencia

La variante de GoGra para Linux reproduce la lógica de comunicación y el flujo operativo de su contraparte para Windows. Interactúa con una carpeta específica de Outlook denominada "Zomato Pizza", consultándola cada dos segundos mediante el Protocolo de Datos Abiertos (OData). El malware monitoriza los mensajes entrantes y procesa únicamente aquellos que cumplen con criterios específicos.

  • Los correos electrónicos con asuntos que comienzan con "Input" se identifican como instrucciones de tareas.
  • El cuerpo del mensaje se decodifica en Base64 y se ejecuta como comandos de shell a través de /bin/bash.
  • Los resultados de la ejecución se filtran mediante respuestas de correo electrónico con el asunto "Resultado".
  • Los correos electrónicos de asignación de tareas originales se eliminan después de su ejecución para eliminar rastros forenses.

Huellas de desarrollo consistentes en todas las plataformas

A pesar de las diferencias en los sistemas operativos y los métodos de implementación, la arquitectura C2 subyacente se mantiene constante entre las versiones de Windows y Linux. Los investigadores también han observado errores ortográficos idénticos en ambas variantes, lo que indica claramente que existe un desarrollador o equipo de desarrollo común detrás de las herramientas.

Implicaciones estratégicas: Ampliación de la superficie de ataque

La introducción de una puerta trasera basada en Linux pone de manifiesto los continuos esfuerzos de Harvester por diversificar sus capacidades y aumentar su flexibilidad operativa. Al atacar múltiples sistemas operativos y aprovechar servicios en la nube de confianza, el grupo se está posicionando para comprometer una gama más amplia de entornos manteniendo un bajo perfil de detección.

Esta evolución subraya la creciente sofisticación de los ciberdelincuentes modernos y la necesidad de defensas de ciberseguridad adaptativas y basadas en el comportamiento.

Tendencias

Mas Visto

Cargando...