Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Amenaza persistente avanzada (APT) Puerta trasera de MarsSnake

Puerta trasera de MarsSnake

Por Mezo en Amenaza persistente avanzada (APT), Puertas traseras
Traducir a:

Expertos en seguridad informática revelaron recientemente las tácticas de un grupo de hackers aliado con China, conocido como UnsolicitedBooker. Este actor de amenazas atacó a una organización internacional anónima en Arabia Saudita mediante una puerta trasera previamente desconocida llamada MarsSnake. Su actividad se extiende a lo largo de varios años, lo que demuestra un interés constante en este objetivo en particular.

Spear-Phishing con un toque especial: billetes de avión como cebo

El método de infiltración del grupo se basa en gran medida en correos electrónicos de phishing selectivo. Estos correos suelen incluir billetes de avión como señuelo para inducir a las víctimas a abrir archivos adjuntos amenazantes. Los objetivos son principalmente organizaciones gubernamentales de Asia, África y Oriente Medio. El uso de señuelos relacionados con vuelos por parte de los atacantes hace que sus intentos de phishing sean especialmente convincentes y personalizados.

Arsenal de malware conocido e identidades superpuestas

Los ataques de UnsolicitedBooker se caracterizan por el despliegue de varias puertas traseras conocidas, entre ellas:

  • Chinoxi
  • DeedRAT
  • Hiedra venenosa
  • BeRAT

Estas herramientas de malware suelen estar vinculadas a grupos chinos de ciberespionaje. Además, UnsolicitedBooker comparte características con otro grupo llamado Space Pirates y un grupo no identificado que utilizó una puerta trasera llamada Zardoor contra una organización islámica sin fines de lucro en Arabia Saudita.

Análisis de la última campaña: El despliegue de la puerta trasera de MarsSnake

La campaña más reciente, de enero de 2025, tuvo como objetivo a la misma organización saudí. El ataque consistió en un correo electrónico de phishing que suplantaba a Saudia Airlines con un archivo adjunto de reserva de vuelo. Los detalles clave incluyen:

  • El archivo adjunto : Un documento de Microsoft Word camuflado en un billete de avión.
  • Origen del billete señuelo : Modificado a partir de un PDF disponible públicamente en el sitio web de intercambio de investigaciones de Academia.
  • Proceso de infección : al abrir el documento de Word, se activa una macro VBA que escribe un archivo ejecutable (smssdrvhost.exe) en el sistema de la víctima.
  • Función del ejecutable : Actúa como cargador para MarsSnake, la puerta trasera recién descubierta
  • Comunicación : MarsSnake se conecta a un servidor remoto (contact.decenttoy.top) para recibir comandos

Los repetidos intentos de intrusión en 2023, 2024 y 2025 resaltan la campaña enfocada de UnsolicitedBooker contra esta organización.

MarsSnake: Una herramienta poderosa en el arsenal de UnsolicitedBooker

MarsSnake es una puerta trasera completa que otorga a los atacantes un control significativo sobre los equipos infectados. Permite la ejecución de comandos arbitrarios y acceso ilimitado de lectura y escritura a archivos. La puerta trasera se conecta a un servidor de comando y control (C&C) para recibir instrucciones. Hasta el momento, MarsSnake parece ser utilizado exclusivamente por UnsolicitedBooker, lo que lo convierte en una herramienta característica de este actor de amenazas.

Tendencias

Mas Visto

Cargando...