Titanio

La APT Platinum (Advanced Persistent Threat) ha permanecido activa desde que se vio por primera vez en 2009. El grupo de piratería parece operar principalmente en la región de Asia y el Pacífico, y parece apuntar a organizaciones políticas y funcionarios de alto rango en el área . Esta es la razón por la cual los investigadores de ciberseguridad creen que un gobierno en la región puede estar financiando las operaciones de la APT de platino, aunque estas siguen siendo especulaciones en este momento.

Se asegura de permanecer bajo el radar de herramientas de seguridad

El grupo de pirateo Platinum ha lanzado recientemente una nueva herramienta llamada Titanium. El malware Titanium es un troyano complejo de puerta trasera, que tiene una larga lista de capacidades. Las capacidades de autoconservación del troyano Titanium son impresionantes ya que esta amenaza puede detectar entornos de depuración de malware, herramientas antimalware y varias características de seguridad especialmente. El grupo de pirateo de Platinum parece estar utilizando varios vectores de infección diferentes en la propagación del troyano de puerta trasera Titanium. Los actores detrás del troyano Titanium se han asegurado de que esta amenaza opere en silencio para permanecer bajo el radar de la víctima. Para permanecer sin ser detectado, el troyano Titanium inyecta la mayoría de sus módulos en la memoria del host comprometido y se asegura de usar casi ningún archivo. Para ocultar el código corrupto del troyano Titanium, los operadores de esta amenaza usan un cargador de troyanos, para que las aplicaciones antimalware no detecten la amenaza. Los creadores del troyano de puerta trasera Titanium también se aseguran de que su código esté muy ofuscado y encriptado para reducir aún más las posibilidades de que las herramientas antivirus detecten su actividad dañina.

Capacidades

Una vez que el troyano de puerta trasera Titanium logra infiltrarse en el host objetivo, sus operadores pueden utilizarlo como una herramienta para el espionaje. Además, el troyano Titanium puede servir como puerta trasera para que los atacantes planten amenazas adicionales en el sistema infectado. Cuando el troyano de puerta trasera Titanium ha comprometido una computadora con éxito, establecerá una conexión con el servidor C&C (Comando y Control) de los atacantes y esperará los comandos. El troyano de titanio es capaz de:

• Modifique los archivos del sistema en la computadora.
• Descargue archivos de la Web.
• Ejecuta archivos desde la Web.
• Ejecute archivos recibidos del servidor C&C de sus operadores.
• Leer archivos en el sistema.
• Extraiga archivos al servidor C&C de sus operadores.
• Ejecuta comandos remotos.

El APT de platino sigue siendo un grupo de piratería activo y amenazante, y todavía tenemos que descubrir para quién trabajan o cuál es su objetivo final.