Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Campaña de espionaje de Red Menshen

Campaña de espionaje de Red Menshen

Por Mezo en Software malicioso, Amenaza persistente avanzada (APT)
Traducir a:

Una persistente y altamente estratégica campaña de ciberespionaje, vinculada a un grupo de ciberdelincuentes alineado con China, se ha infiltrado con éxito en las redes de telecomunicaciones. Su objetivo principal es vigilar e infiltrar la infraestructura gubernamental utilizando las redes de telecomunicaciones como puerta de entrada.

Esta operación de larga duración se atribuye al grupo de amenazas conocido como Red Menshen, también rastreado bajo alias como Earth Bluecrow, DecisiveArchitect y Red Dev 18. Desde al menos 2021, el grupo ha atacado sistemáticamente a proveedores de telecomunicaciones en Oriente Medio y Asia, estableciendo un acceso profundo y encubierto a sistemas críticos.

Células durmientes digitales: técnicas avanzadas de persistencia

Investigadores de seguridad han caracterizado los mecanismos de acceso utilizados en esta campaña como algunos de los más encubiertos jamás observados en redes de telecomunicaciones. Estas técnicas funcionan como células durmientes digitales, permaneciendo inactivas y sin ser detectadas hasta que se activan.

Los atacantes se basan en una combinación de herramientas y técnicas muy avanzadas, entre las que se incluyen:

  • Implantes a nivel de núcleo que operan en lo profundo del sistema operativo.
  • Puertas traseras pasivas que evitan los métodos de detección tradicionales.
  • Herramientas para la obtención de credenciales y la recopilación de datos de acceso confidenciales.
  • Marcos de mando y control multiplataforma que permiten operaciones flexibles

Estas capacidades permiten al atacante mantener una presencia a largo plazo minimizando la actividad detectable.

BPFDoor: La puerta trasera invisible en el kernel

En el centro de esta campaña se encuentraBPFDoor , una puerta trasera basada en Linux que ejemplifica la discreción y la sofisticación. A diferencia del malware tradicional, este implante evita crear indicadores de red detectables.

En lugar de abrir puertos o mantener canales de comunicación visibles, BPFDoor aprovecha la funcionalidad del filtro de paquetes de Berkeley (BPF) dentro del kernel de Linux. Inspecciona el tráfico de red internamente y se activa solo cuando recibe un paquete "mágico" especialmente diseñado.

Este diseño elimina la necesidad de escuchas persistentes o actividad de balizamiento, integrando eficazmente un mecanismo de acceso oculto directamente en el sistema operativo. El resultado es un punto de entrada prácticamente invisible, extremadamente difícil de detectar mediante herramientas de monitorización convencionales.

Compromiso inicial: Explotación de la infraestructura de borde

La cadena de ataque suele comenzar con el ataque dirigido a sistemas conectados a internet y dispositivos periféricos. Estos incluyen puertas de enlace VPN, cortafuegos y servicios web, especialmente aquellos asociados con las principales tecnologías empresariales.

Una vez que obtienen acceso inicial, los atacantes despliegan un conjunto de herramientas de post-explotación para ampliar su control. Estas incluyen frameworks como CrossC2, junto con Sliver, TinyShell, registradores de pulsaciones de teclas y utilidades de fuerza bruta. En conjunto, estas herramientas permiten la obtención de credenciales, el reconocimiento interno y el movimiento lateral a través de entornos comprometidos.

Arquitectura de doble componente: control y activación

BPFDoor opera mediante una arquitectura de dos partes diseñada para la precisión y el sigilo. Un componente reside en el sistema comprometido y monitorea pasivamente el tráfico entrante en busca de un paquete de activación predefinido. Al detectarlo, se activa creando una shell remota.

El segundo componente es un controlador operado por el atacante. Este controlador envía paquetes especialmente diseñados para activar implantes y también puede funcionar dentro del entorno de la víctima. Cuando se implementa internamente, puede disfrazarse como procesos legítimos del sistema, coordinar infecciones adicionales y facilitar el movimiento lateral controlado entre sistemas.

Vigilancia a nivel de telecomunicaciones: Más allá de las puertas traseras tradicionales

Ciertas variantes de BPFDoor demuestran capacidades que van más allá de la funcionalidad estándar de puerta trasera. La compatibilidad con el Protocolo de Transmisión de Control de Flujo (SCTP) permite la monitorización de comunicaciones específicas de telecomunicaciones.

Esta capacidad permite a los atacantes obtener información sobre la actividad de los suscriptores, rastrear el comportamiento de los usuarios y, potencialmente, determinar la ubicación física de personas de interés. Como resultado, BPFDoor funciona eficazmente como una capa de vigilancia integrada en la infraestructura de telecomunicaciones, proporcionando visibilidad a largo plazo y con bajo nivel de ruido sobre operaciones sensibles.

Evasión reinventada: nuevas variantes y mejoras de sigilo.

Una variante recientemente identificada de BPFDoor introduce mejoras arquitectónicas diseñadas para aumentar la evasión y la durabilidad. Los avances clave incluyen:

  • Ocultar paquetes de activación dentro de tráfico HTTPS aparentemente legítimo
  • Aplicación de un marcador de desplazamiento de byte fijo ('9999') para una detección de activación fiable.
  • Introducción de la comunicación basada en ICMP entre huéspedes infectados para una interacción de bajo perfil.

Estas técnicas permiten que el tráfico malicioso se integre perfectamente con la actividad normal de la red, reduciendo significativamente la probabilidad de detección al tiempo que se mantiene una ejecución de comandos fiable.

Técnicas de espionaje en evolución: profundizando en la pila

La campaña pone de manifiesto un cambio más amplio en la metodología de los atacantes. En lugar de depender únicamente del malware en el espacio de usuario, los adversarios están insertando cada vez más implantes en las capas más profundas de la pila informática, en particular a nivel del núcleo y la infraestructura.

Los entornos de telecomunicaciones son objetivos especialmente atractivos debido a su complejidad, que incluye sistemas bare-metal, capas de virtualización, hardware de red de alto rendimiento y componentes centrales 4G/5G en contenedores. Al integrarse con servicios legítimos y entornos de ejecución, estos implantes pueden eludir las defensas tradicionales de los endpoints y permanecer sin ser detectados durante largos periodos.

Conclusión: Una nueva frontera en el ciberespionaje

Esta campaña demuestra una evolución significativa en las tácticas de ciberespionaje. Aprovechando la infraestructura de telecomunicaciones y los mecanismos de sigilo a nivel del núcleo del sistema operativo, los atacantes logran un acceso prolongado y discreto a entornos altamente sensibles.

El uso de herramientas avanzadas como BPFDoor, combinado con técnicas de evasión innovadoras y una profunda integración del sistema, representa un desafío creciente para los defensores. Detectar y mitigar estas amenazas requiere una mayor visibilidad de las capas inferiores de la arquitectura informática y una revisión de los enfoques de seguridad tradicionales.

Tendencias

Mas Visto

Cargando...