Malware SNOWLIGHT
El actor de amenazas UNC5174, vinculado a China y también conocido como Uteus (o Uetus), ha lanzado una nueva cibercampaña que utiliza una versión modificada del malware SNOWLIGHT y un nuevo troyano de acceso remoto (RAT) de código abierto llamado VShell. Esta operación se dirige a sistemas Linux y emplea técnicas avanzadas para evadir la detección y la atribución.
Tabla de contenido
Integración: herramientas de código abierto como tapadera
Los actores de amenazas recurren cada vez más a herramientas de código abierto para reducir costos y enmascarar sus actividades. En este caso, UNC5174 utiliza estas herramientas para simular ser hackers de bajo nivel, no patrocinados por ningún estado, lo que dificulta a los defensores rastrear la campaña hasta un estado-nación. Esta táctica le ha permitido a UNC5174 operar discretamente desde su última asociación conocida con operaciones vinculadas al gobierno chino hace más de un año.
Un arsenal familiar: SNOWLIGHT y su papel
Anteriormente, UNC5174 explotó vulnerabilidades en Connectwise ScreenConnect y el software F5 BIG-IP para implementar SNOWLIGHT, un descargador ELF basado en C. Esta herramienta se utilizó para recuperar GOHEAVY, una herramienta de tunelización basada en Golang, de la infraestructura vinculada a SUPERSHELL, un framework C2 disponible públicamente.
Expansión del conjunto de herramientas: GOREVERSE y nuevos vectores de ataque
El conjunto de herramientas del grupo también incluye GOREVERSE, un shell inverso de Golang que se comunica mediante Secure Shell (SSH). La Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI) observó recientemente tácticas similares en ataques contra vulnerabilidades de Ivanti Cloud Service Appliance (CSA), como CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190.
Amenazas multiplataforma: SNOWLIGHT y VShell atacan macOS
Tanto SNOWLIGHT como VShell pueden infectar sistemas macOS de Apple. En octubre de 2024, VShell se disfrazó como una aplicación de autenticación falsa de Cloudflare, lo que sugiere una infraestructura de ataque más amplia y flexible. Esta capacidad multiplataforma aumenta la amenaza general que representa UNC5174.
Puntos de entrada invisibles: cadena de ataque y despliegue de carga útil
En un ataque observado en enero de 2025, SNOWLIGHT se utilizó como dropper para distribuir VShell, una RAT en memoria sin archivos. El método de acceso inicial se desconoce, pero una vez dentro del sistema, se utiliza un script malicioso (download_backd.sh) para implementar dos binarios clave: dnsloger (SNOWLIGHT) y system_worker (Sliver). Estas herramientas ayudan a establecer la persistencia e iniciar la comunicación con un servidor C2.
Sigilo y control: la etapa final con VShell
La etapa final de la intrusión implica la descarga de VShell mediante una solicitud personalizada al servidor C2. Como troyano de acceso remoto, VShell permite a los atacantes ejecutar comandos arbitrarios y transferir archivos. Su naturaleza sin archivos y el uso de WebSockets para las comunicaciones C2 lo convierten en una herramienta especialmente sigilosa y peligrosa en el arsenal del atacante.
Conclusión: Una amenaza sofisticada y evasiva
UNC5174 sigue representando un riesgo significativo debido a su combinación de herramientas de código abierto, sofisticados métodos de entrega y cargas útiles sigilosas como SNOWLIGHT y VShell. Su capacidad para pasar desapercibida mientras aprovecha herramientas públicas y explota vulnerabilidades multiplataforma subraya la necesidad de una mayor vigilancia y estrategias defensivas actualizadas.
