Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Puertas traseras Puerta trasera de MgBot

Puerta trasera de MgBot

Por Mezo en Puertas traseras, Amenaza persistente avanzada (APT)
Traducir a:

Una sofisticada operación de amenaza persistente avanzada (APT), alineada con China, se ha atribuido a una prolongada campaña de ciberespionaje que abusó de la infraestructura del Sistema de Nombres de Dominio (DNS) para distribuir la puerta trasera MgBot. La campaña se centró en víctimas cuidadosamente seleccionadas en Turquía, China e India, y permaneció activa desde noviembre de 2022 hasta noviembre de 2024.

El adversario detrás de la operación

La actividad se ha vinculado al actor de amenazas conocido como Evasive Panda, también rastreado bajo los nombres Bronze Highland, Daggerfly y StormBamboo. Se estima que este grupo está operativo desde al menos 2012 y es conocido por sus intrusiones altamente dirigidas, en lugar de ataques amplios y oportunistas.

El adversario en el medio como táctica central

La campaña se centró en el uso de técnicas de adversario en el intermediario (AitM). Los atacantes manipularon las respuestas DNS para redirigir silenciosamente a las víctimas a la infraestructura bajo su control. Los cargadores de malware se colocaron en ubicaciones de archivo precisas, mientras que los componentes cifrados se alojaron en servidores controlados por los atacantes y solo se entregaron en respuesta a consultas DNS específicas vinculadas a sitios web legítimos.

Un patrón de abuso de envenenamiento de DNS

Esta campaña no es un caso aislado. Evasive Panda ha demostrado repetidamente su experiencia en envenenamiento de DNS. Investigaciones anteriores señalaron tácticas similares en abril de 2023, cuando el grupo probablemente aprovechó una vulnerabilidad en la cadena de suministro o un ataque AitM para distribuir versiones troyanizadas de software confiable, como Tencent QQ, contra una ONG internacional en China continental.

En agosto de 2024, informes adicionales revelaron que el grupo había comprometido a un proveedor de servicios de Internet (ISP) anónimo, abusando de respuestas DNS envenenadas para distribuir actualizaciones de software malicioso a objetivos seleccionados.

Un ecosistema más amplio de actores del AitM alineados con China

Evasive Panda forma parte de un panorama más amplio de grupos de amenazas alineados con China que utilizan el envenenamiento basado en AitM para la distribución y propagación de malware dentro de las redes. Los analistas han identificado al menos diez grupos activos que utilizan enfoques similares, lo que subraya que la manipulación de DNS se ha convertido en una técnica predilecta en este ecosistema.

Actualizaciones de software armadas como señuelos

En las intrusiones documentadas, se atrajo a las víctimas con actualizaciones falsas que se hacían pasar por software legítimo de terceros. Un señuelo destacado suplantaba actualizaciones de SohuVA, una aplicación de streaming de vídeo de la empresa tecnológica china Sohu. La actualización parecía provenir del dominio legítimo p2p.hd.sohu.com[.]cn, lo que sugiere firmemente que se utilizó envenenamiento de DNS para redirigir el tráfico a un servidor malicioso mientras la aplicación intentaba actualizar los binarios en su directorio estándar, appdata\roaming\shapp\7.0.18.0\package.

Los investigadores también observaron campañas paralelas que abusaban de actualizadores falsos para iQIYI Video de Baidu, IObit Smart Defrag y Tencent QQ.

Entrega de carga útil en varias etapas a través de dominios de confianza

La ejecución exitosa de la actualización falsa condujo a la implementación de un cargador inicial que ejecutó un shellcode. Este shellcode recuperó una carga útil cifrada de segunda etapa camuflada como una imagen PNG, nuevamente mediante envenenamiento de DNS, esta vez abusando del dominio legítimo dictionary.com.

Los atacantes manipularon la resolución DNS para que dictionary.com se resolviera en direcciones IP controladas por el atacante, determinadas selectivamente según la ubicación geográfica y el proveedor de internet de la víctima. La solicitud HTTP utilizada para obtener esta carga útil incluía la versión de Windows de la víctima, lo que probablemente permitió a los atacantes adaptar las acciones posteriores a compilaciones específicas del sistema operativo. Este ataque selectivo se asemeja al uso previo del grupo de ataques de abrevadero, incluyendo la distribución del malware para macOS conocido como MACMA.

Cómo pudo haberse logrado el envenenamiento del DNS

Aunque el método preciso utilizado para envenenar las respuestas DNS aún no está confirmado, los investigadores sospechan dos posibilidades principales:

  • Compromiso selectivo de los ISP víctimas, que potencialmente implica implantes de red en dispositivos periféricos para manipular el tráfico DNS.
  • Compromiso directo de enrutadores o firewalls dentro de entornos de víctimas para alterar las respuestas DNS localmente.

Cadena de carga sofisticada y cifrado personalizado

El proceso de distribución del malware en la segunda etapa es deliberadamente complejo. El shellcode inicial descifra y ejecuta una carga útil específica para la víctima, un método que, según se cree, reduce la detección al generar un archivo cifrado único para cada objetivo.

Un cargador secundario, camuflado como libpython2.4.dll, se basa en la instalación de un archivo python.exe renombrado y obsoleto. Una vez ejecutado, recupera y descifra la carga útil de la siguiente etapa leyendo desde C:\ProgramData\Microsoft\eHome\perf.dat. Este archivo contiene malware que primero se cifró con XOR, luego se descifró y finalmente se volvió a cifrar mediante una combinación personalizada de la API de protección de datos de Microsoft (DPAPI) y el algoritmo RC5. Este diseño garantiza que la carga útil solo se pueda descifrar en el sistema original de la víctima, lo que dificulta considerablemente la interceptación y el análisis sin conexión.

MgBot: Un implante sigiloso y capaz

Tras el descifrado, la carga útil se inyecta en un proceso legítimo svchost.exe, revelándose como una variante de la puerta trasera MgBot. Este implante modular admite una amplia gama de funciones de espionaje, entre ellas:

  • Recopilación y exfiltración de archivos
  • Registro de pulsaciones de teclas y recolección de datos del portapapeles
  • Grabación de audio
  • Robo de credenciales almacenadas en el navegador

Estas capacidades permiten a los atacantes mantener acceso encubierto a largo plazo a los sistemas comprometidos.

Una amenaza persistente y en evolución

Esta campaña destaca la continua evolución y sofisticación técnica de Evasive Panda. Al combinar el envenenamiento de DNS, la suplantación de marca de confianza, los cargadores multicapa y el cifrado vinculado al sistema, el grupo demuestra una clara capacidad para evadir las defensas, manteniendo al mismo tiempo el acceso persistente a objetivos de alto valor. La operación refuerza la necesidad de una mayor seguridad de DNS, la validación de la cadena de suministro y la supervisión de los mecanismos de actualización en entornos sensibles.

Tendencias

Alerta importante sobre estafas por correo...

Suplantación de identidad (phishing), Correo basura
Los correos electrónicos inesperados que exigen atención urgente son el arma predilecta de los ciberdelincuentes. Es fundamental mantenerse alerta ante mensajes inesperados, especialmente aquellos que advierten sobre problemas con las cuentas o documentos recién publicados. Una de estas amenazas que circula en línea es la estafa por correo electrónico "Se están publicando facturas", una campaña...

Mas Visto

Cargando...