Software malicioso de PingPull

El grupo Gallim APT (Advanced Persistent Threat) ha estado ejecutando una campaña de ataque dirigida a instituciones financieras y entidades gubernamentales en varios continentes. Más específicamente, esta última operación del grupo de piratas informáticos probablemente patrocinado por China se ha aprovechado contra objetivos en Rusia, Bélgica, Vietnam, Camboya, Australia, Filipinas, Malasia y Afganistán. Además, según los investigadores de seguridad cibernética de Unit42 de Palo Alto Network, el actor de amenazas ha implementado un nuevo RAT (troyano de acceso remoto) especialmente sigiloso rastreado como 'PingPull'.

La amenaza PingPull está diseñada para infiltrarse en los dispositivos objetivo y luego crear un caparazón inverso en ellos. Posteriormente, los atacantes tendrán la capacidad de ejecutar comandos arbitrarios de forma remota. El informe de Unit42 revela que se han identificado tres variantes separadas de PingPull. La principal diferencia entre ellos es el protocolo de comunicación utilizado: ICMP, HTTPS o TCP. Es probable que los piratas informáticos de Gallium elijan la variante que les proporcione las mejores posibilidades de evadir métodos de detección de red específicos o herramientas de seguridad basadas en información adquirida previamente sobre el objetivo.

Las tres variantes existen en las máquinas infiltradas como un servicio que tiene una descripción que imita la de un servicio legítimo. Los comandos reconocidos por las variantes también son los mismos. Van desde la manipulación del sistema de archivos, la ejecución de comandos a través de cmd.exe, la enumeración de los volúmenes de almacenamiento, la capacidad de detener el tiempo de los archivos y el envío de datos al servidor de comando y control (C2, C&C) de la operación. El tráfico entrante del C2 se cifra con el algoritmo criptográfico AES. Para descifrar los comandos y sus parámetros, la baliza tiene un par de claves codificadas.