Malware RedXOR

Una nueva campaña de ataque que los investigadores de seguridad de la información creen que aún está en curso está dirigida a los servidores y terminales de Linux. La operación implementa una amenaza nunca antes vista llamada malware RedXOR. La herramienta amenazante se incrusta en el sistema comprometido, crea un canal de puerta trasera y otorga un control amplio sobre el dispositivo al actor de la amenaza.

RedXOR exhibe un diseño extremadamente enfocado que lo hace inadecuado para ataques contra un conjunto más amplio de objetivos. En cambio, la amenaza se crea para permanecer invisible en algunas víctimas estratégicamente seleccionadas, ya que debe compilarse para la versión específica del kernel que se ejecuta en el sistema elegido. Hasta ahora, no se ha encontrado el punto de incumplimiento inicial para el malware RedXOR, pero los investigadores señalan que cuando se implementa, la amenaza puede realizar una amplia gama de actividades amenazantes. Puede explorar y manipular el sistema de archivos, buscar archivos adicionales, exfiltrar los datos recopilados, ejecutar shells web o canalizar el tráfico de la red a un destino elegido. Además, RedXOR tiene la capacidad de actualizarse. Esta funcionalidad permite a los piratas informáticos instalar nuevas versiones si creen que la actual está a punto de ser detectada, lo que aumenta las posibilidades de evitar el descubrimiento.

RedXOR Malware exhibe algunas similitudes sorprendentes con las herramientas de malware del APT (Advanced Persistence Threat) Winnti Group (APT 41) respaldado por China. Las superposiciones entre RedXOR y el arsenal de Winnti incluyen el lenguaje de codificación de las amenazas, los rootkits del kernel de código abierto empleados y el uso del cifrado XOR para la codificación de datos. Es completamente posible que un grupo diferente haya imitado los rootkits del núcleo de código abierto y el uso del cifrado XOR para la codificación de datos. Es completamente posible que un grupo diferente haya imitado las técnicas de Winnti. Sin embargo, los investigadores de Intezer que analizaron RedXOR, creen que es muy probable que un nuevo actor de amenazas también tenga vínculos con el gobierno chino.