Turian Backdoor

Turian Backdoor es una nueva amenaza personalizada, empleada en ataques por un grupo de piratas informáticos previamente desconocido. Este nuevo actor de amenazas establecido en la escena de las bandas cibernéticas se ha denominado BackdoorDiplamacy y se cree que ha estado activo desde al menos 2017. La configuración y la infraestructura de las operaciones amenazadoras del grupo apuntan a que es una APT (Amenaza persistente avanzada) patrocinada por el estado. El conjunto altamente localizado de víctimas también apoya esta conjetura.

Hasta ahora, BackdoorDiplomacy ha llevado a cabo ataques contra instituciones gubernamentales como los Ministerios de Relaciones Exteriores de varios países africanos, así como Europa, Oriente Medio y Asia. El grupo también ha violado varias empresas de telecomunicaciones que operan en África y al menos una organización benéfica de Oriente Medio.

En cuanto a Turian Backdoor, es solo uno de los numerosos instrumentos amenazantes que componen el kit de malware de BackdoorDiplomacy. El análisis inicial revela que la amenaza se desarrolló sobre la base de Quarian backdoor, una herramienta de malware que se aprovechó contra objetivos diplomáticos en una serie de ataques en 2013. Turian Backdoor también es esencial para exfiltrar cualquier información extraída de los sistemas comprometidos. Después de todo, el objetivo principal de los piratas informáticos BackdoorDiplomacy es recopilar datos de sus objetivos. Como tal, la carga útil principal entregada a las víctimas infectadas es capaz de recopilar y cargar datos del sistema, tomar capturas de pantalla arbitrarias y manipular el sistema de archivos (mover, eliminar, crear y recopilar archivos).

La información almacenada en medios extraíbles como unidades flash también está amenazada. Los archivos almacenados allí se copiarán y ensamblarán en un archivo protegido con contraseña que luego se cargará en el servidor de Command-and-Control por Turian Backdoor.