Malware de puerta trasera SlowStepper

En 2023, PlushDaemon, un grupo de amenazas persistentes avanzadas (APT) alineado con China que no había sido documentado previamente, apareció en el radar de la ciberseguridad tras un sofisticado ataque a la cadena de suministro contra un proveedor de VPN de Corea del Sur. Este ataque implicó reemplazar el instalador legítimo con una versión comprometida e implementar su implante característico, SlowStepper.

SlowStepper: una puerta trasera versátil en el arsenal de PlushDaemon

En el centro de las operaciones de PlushDaemon se encuentra SlowStepper, una puerta trasera con muchas funciones que cuenta con un conjunto de herramientas de más de 30 componentes. Escrita en C++, Python y Go, esta puerta trasera sirve como el instrumento principal del grupo para el espionaje y la intrusión. SlowStepper ha estado en desarrollo desde al menos 2019, evolucionando a través de múltiples iteraciones, y su última versión se compilará en junio de 2024.

Canales secuestrados: la clave para el acceso inicial

La estrategia de ataque de PlushDaemon explota con frecuencia vulnerabilidades en servidores web y secuestra canales legítimos de actualización de software. El grupo obtuvo acceso inicial al incorporar código inseguro en el instalador NSIS de un software VPN distribuido a través del sitio web 'ipany.kr'. El instalador comprometido distribuyó simultáneamente el software legítimo y la puerta trasera SlowStepper.

Alcance del objetivo y victimología

El ataque afectó potencialmente a cualquier entidad que descargara el instalador con trampa explosiva. Las pruebas muestran intentos de instalar el software comprometido en redes asociadas con una empresa de semiconductores de Corea del Sur y un desarrollador de software no identificado. Las víctimas iniciales se identificaron en Japón y China a fines de 2023, lo que refleja el amplio alcance del grupo.

Una cadena de ataque compleja: la implementación de SlowStepper

El ataque comienza con la ejecución del instalador ('IPanyVPNsetup.exe'), que configura la persistencia y lanza un cargador ('AutoMsg.dll'). Este cargador inicia la ejecución del shellcode, extrayendo y cargando archivos DLL no seguros mediante herramientas legítimas como 'PerfWatson.exe'. La etapa final implica la implementación de SlowStepper desde un archivo con un nombre inofensivo ('winlogin.gif').

Una versión reducida: SlowStepper Lite

Los investigadores identificaron la variante 'Lite' de SlowStepper utilizada en esta campaña, que incluye menos funciones que la versión completa. A pesar de ello, conserva importantes capacidades, lo que permite una vigilancia exhaustiva y la recopilación de datos a través de herramientas alojadas en GitCode, un repositorio de código chino.

Mando y control: un enfoque de múltiples etapas

SlowStepper emplea un sólido protocolo de comando y control (C&C) de varias etapas. Primero, consulta a los servidores DNS para obtener un registro TXT con el fin de obtener direcciones IP para la comunicación. Si esto falla, recurre a un método secundario, utilizando una API para resolver un dominio de respaldo.

Espionaje a gran escala: capacidades modulares de SlowStepper

La puerta trasera SlowStepper está equipada con una amplia gama de herramientas para recopilar información, lo que le permite recopilar datos de:

• Navegadores web populares: Google Chrome, Microsoft Edge, Opera, Brave, Vivaldi, Cốc Cốc browser, UC Browser, 360 Browser y Mozilla Firefox
• Captura imágenes y graba pantallas.
• Recopile documentos confidenciales y datos de aplicaciones: txt, .doc, .docx, .xls, .xlsx, .ppt y .pptx, así como información de aplicaciones como LetsVPN, Tencent QQ, WeChat, Kingsoft WPS, e2eSoft VCam, KuGou, Oray Sunlogin y ToDesk.
• Captura mensajes de chat de la plataforma DingTalk.
• Recupere paquetes de Python que no sean dañinos.
• FileScanner y FileScannerAllDisk analizan el sistema para localizar archivos.
• getOperaCookie extrae las cookies del navegador Opera.
• La ubicación identifica la dirección IP y las coordenadas GPS de la computadora.
• qpass recopila información del navegador Tencent QQ, que posiblemente pueda ser reemplazada por el módulo qqpass.
• qqpass y Webpass recopilan contraseñas de varios navegadores, incluidos Google Chrome, Mozilla Firefox, Tencent QQ Browser, 360 Chrome y UC Browser.
• ScreenRecord captura grabaciones de pantalla.
• Telegram extrae información de Telegram.
• WeChat recupera datos de la plataforma WeChat.
• WirelessKey recopila detalles de la red inalámbrica y las contraseñas asociadas.

Las características únicas incluyen la capacidad de iniciar un shell personalizado para ejecutar cargas útiles remotas y módulos Python para tareas específicas.

El espionaje y el robo de datos bajo la lupa

El diseño modular de la puerta trasera permite la recopilación de datos específicos, como mensajes de chat de DingTalk y WeChat, contraseñas de navegadores y datos de ubicación del sistema. Las herramientas adicionales admiten la funcionalidad de proxy inverso y descargas de archivos, lo que mejora sus capacidades de espionaje.

Una amenaza creciente: la evolución de PlushDaemon

El amplio conjunto de herramientas de PlushDaemon y su compromiso con el desarrollo continuo lo convierten en una entidad formidable. Las operaciones del grupo desde 2019 ponen de relieve un claro enfoque en la creación de herramientas sofisticadas, lo que lo posiciona como una amenaza importante en el panorama de la ciberseguridad.

Conclusión: Vigilancia ante amenazas emergentes

Los ataques a la cadena de suministro y las capacidades avanzadas de PlushDaemon subrayan la importancia de la vigilancia en la comunidad de ciberseguridad. Al atacar canales de distribución de software confiables, el grupo ha demostrado su capacidad para infiltrarse en las redes y ejecutar campañas de espionaje complejas.