Puerta trasera de GhostSpider
Un sofisticado grupo de ciberespionaje vinculado a China, conocido como Earth Estries, ha estado atacando a entidades gubernamentales y de telecomunicaciones en el sudeste asiático y más allá. El grupo ha empleado una variedad de técnicas avanzadas para infiltrarse en industrias críticas, incluido el uso de una puerta trasera no documentada llamada GhostSpider. También se ha observado que este actor de amenazas explota varias vulnerabilidades para obtener acceso no autorizado a sus objetivos, lo que revela la creciente sofisticación de las capacidades cibernéticas de China.
Tabla de contenido
GhostSpider: La puerta trasera indocumentada
GhostSpider, una nueva incorporación al arsenal de Earth Estries, se ha utilizado como método principal para infiltrarse en las redes. Esta puerta trasera está muy bien diseñada, diseñada específicamente para explotar las debilidades en la infraestructura de las empresas de telecomunicaciones del sudeste asiático. Earth Estries utiliza esta herramienta junto con MASOL RAT (también conocida como Backdr-NQ), otra puerta trasera, para atacar tanto los sistemas Linux como los de la red gubernamental. La estrategia del grupo de utilizar malware personalizado garantiza una presencia persistente dentro de las redes comprometidas, lo que permite el espionaje cibernético a largo plazo.
Un alcance global: Dirigido a múltiples sectores
The Earth Estries ha logrado avances significativos en la afectación de una amplia gama de sectores, entre ellos las telecomunicaciones, la tecnología, la consultoría, el transporte, las industrias químicas y las organizaciones gubernamentales. Las operaciones del grupo abarcan más de 20 víctimas en más de una docena de países, entre ellos Afganistán, Brasil, India, Indonesia, Malasia, Sudáfrica, Estados Unidos y Vietnam. Esta amplia focalización subraya la capacidad y la ambición del grupo, con unas 150 víctimas afectadas por sus actividades, en particular dentro del gobierno estadounidense y el sector privado.
Las herramientas de la Tierra Estries
Entre las muchas herramientas a disposición de The Earth Estries, se destacan el rootkit Demodex y Deed RAT (también conocido como SNAPPYBEE). Estas herramientas, junto con otras como Crowdoor y TrillClient, son fundamentales para las operaciones del grupo. Se cree que ShadowPad, una familia de malware ampliamente utilizada por los grupos APT chinos, ha influido en el desarrollo de Deed RAT, un probable sucesor. Estas puertas traseras avanzadas y ladrones de información permiten a The Earth Estries permanecer ocultos mientras extraen información confidencial de sus objetivos.
Explotación de vulnerabilidades para el acceso inicial
Para acceder a sus objetivos, Earth Estries se basa en gran medida en vulnerabilidades de día N, que son fallas en el software que se han divulgado públicamente pero que los usuarios aún no han solucionado. Algunas de las vulnerabilidades más comúnmente explotadas incluyen las de Ivanti Connect Secure, Fortinet FortiClient EMS, Sophos Firewall y Microsoft Exchange Server. Una vez que se explotan estas vulnerabilidades, Earth Estries implementa su malware personalizado, incrustándose aún más en la red comprometida para la vigilancia y la recopilación de datos a largo plazo.
Un grupo complejo y bien organizado
Los Earth Estries operan con un enfoque altamente estructurado y organizado. Según el análisis de varias campañas, parece que diferentes equipos dentro del grupo son responsables de atacar regiones e industrias específicas. La infraestructura de Comando y Control (C2) del grupo también está descentralizada, con equipos distintos que gestionan diferentes operaciones de puerta trasera. Esta segmentación permite una serie de ataques más complejos y coordinados en varios sectores.
GhostSpider: un implante multimódulo
En el corazón de las operaciones de los Earth Estries se encuentra el implante GhostSpider. Esta sofisticada herramienta se comunica con la infraestructura controlada por el atacante a través de un protocolo personalizado protegido por Transport Layer Security (TLS). El implante puede recuperar módulos adicionales según sea necesario, lo que amplía su funcionalidad. Su flexibilidad lo convierte en una poderosa herramienta para el ciberespionaje a largo plazo, lo que permite a los Earth Estries adaptar y desarrollar sus operaciones según lo exija la situación.
Tácticas de sigilo y evasión
Los Earth Estries emplean una variedad de técnicas de sigilo para evitar ser detectados. El grupo comienza sus ataques en los dispositivos periféricos y gradualmente extiende su alcance a los entornos de la nube, lo que dificulta detectar su presencia. Al mantener un perfil bajo y esconderse detrás de capas de infraestructura, los Earth Estries garantizan que sus actividades pasen desapercibidas durante períodos prolongados, lo que permite la recopilación de datos ininterrumpida.
Las empresas de telecomunicaciones: un blanco frecuente
Las empresas de telecomunicaciones han sido durante mucho tiempo un objetivo principal para los grupos de ciberamenazas vinculados a China, y Earth Estries se unió a las filas de otros como Granite Typhoon y Liminal Panda. Estos ataques revelan la creciente madurez del programa cibernético de China, que ha pasado de ataques puntuales a la recopilación masiva de datos y campañas sostenidas dirigidas a proveedores de servicios críticos. El enfoque de Earth Estries en los proveedores de servicios administrados (MSP), los proveedores de servicios de Internet (ISP) y los proveedores de plataformas indica un cambio en la estrategia de China para obtener acceso continuo a las redes de comunicaciones globales.
Conclusión: Una creciente amenaza de espionaje cibernético
A medida que Earth Estries continúa expandiendo sus operaciones, se destacan las crecientes capacidades de los grupos de ciberespionaje vinculados con China. El uso de malware sofisticado, combinado con un enfoque en sectores de infraestructura crítica, demuestra una amenaza bien organizada y en evolución. Para las organizaciones en las regiones afectadas, la necesidad de una mayor vigilancia y sólidas medidas de ciberseguridad nunca ha sido más crítica.
Video Puerta trasera de GhostSpider
Consejo: encienda el sonido y mire el video en modo de pantalla completa .
