Malware de soldado sigiloso
\
La comunidad de ciberseguridad descubrió recientemente una puerta trasera personalizada recientemente identificada llamada Stealth Soldier, que se ha utilizado en una serie de campañas de espionaje sofisticadas y específicamente dirigidas en el norte de África.
Stealth Soldier es un malware de puerta trasera no documentado que exhibe una gama de capacidades de vigilancia, destinadas a recopilar información confidencial de sistemas comprometidos. Lleva a cabo varias funciones de vigilancia, como extraer archivos del dispositivo infectado, registrar actividades en la pantalla y el micrófono, registrar pulsaciones de teclas y robar datos relacionados con la navegación.
Un aspecto notable de esta operación de ataque es el uso de servidores de Comando y Control (C&C) que imitan sitios web asociados con el Ministerio de Relaciones Exteriores de Libia. Al imitar estos sitios legítimos, los atacantes crean un entorno engañoso que ayuda en la ejecución de sus actividades maliciosas. Los rastros iniciales de esta campaña Stealth Soldier se remontan a octubre de 2022, lo que indica que los atacantes han estado operando activamente durante un período considerable.
Los operadores de malware Stealth Soldier utilizan tácticas de ingeniería social
La campaña de ataque se inicia con objetivos potenciales que son engañados para que descarguen archivos binarios de descarga maliciosos a través de tácticas de ingeniería social. Estos binarios engañosos sirven como un medio para entregar el malware Stealth Soldier, al mismo tiempo que muestran un archivo PDF de señuelo aparentemente inofensivo para distraer a las víctimas.
Una vez que el malware Stealth Soldier se implementa con éxito, su implante modular personalizado se activa. Este implante, que se cree que se usa con moderación para evitar la detección, equipa al malware con una variedad de capacidades de vigilancia. Recopila listas de directorios y credenciales del navegador, registra pulsaciones de teclas, graba audio desde el micrófono del dispositivo, captura capturas de pantalla, carga archivos y ejecuta comandos de PowerShell.
El malware emplea diferentes tipos de comandos. Algunos comandos son complementos que se descargan del servidor Command-and-Control (C&C), mientras que otros son módulos integrados en el propio malware. Este enfoque modular permite flexibilidad y adaptabilidad en la funcionalidad del malware. También indica que los operadores mantienen y actualizan activamente el malware, como lo demuestra el descubrimiento de tres versiones distintas de Stealth Soldier.
Aunque algunos de los componentes de Stealth Soldier ya no son accesibles, el análisis ha revelado que ciertas funcionalidades, como la captura de pantalla y el robo de credenciales del navegador, se inspiraron en proyectos de código abierto disponibles en GitHub. Esto sugiere que los actores de amenazas detrás de Stealth Soldier se inspiraron en las herramientas existentes y las incorporaron a su malware personalizado para mejorar sus capacidades y efectividad.
Similitudes con operaciones de malware registradas previamente
Además, se ha descubierto que la infraestructura utilizada por Stealth Soldier comparte similitudes con la infraestructura vinculada a una campaña de phishing anterior conocida como Eye on the Nile. La campaña Eye on the Nile se dirigió a periodistas egipcios y activistas de derechos humanos en 2019.
Este desarrollo indica el resurgimiento potencial del actor de amenazas responsable de ambas campañas. Sugiere que el grupo se centra específicamente en realizar actividades de vigilancia dirigidas a personas en Egipto y Libia.
Teniendo en cuenta la naturaleza modular del malware y la utilización de múltiples etapas de infección, es muy probable que los atacantes continúen adaptando sus tácticas y técnicas. Esta adaptabilidad implica que el actor de amenazas probablemente lanzará versiones actualizadas del malware en un futuro próximo, lo que podría introducir nuevas funcionalidades y maniobras evasivas para promover sus objetivos de vigilancia.
