Investigadores de ciberseguridad han descubierto un nuevo malware basado en Lua que se creó varios años antes que el infame gusano Stuxnet, cuyo objetivo era alterar el programa nuclear de Irán saboteando las centrífugas de enriquecimiento de uranio.
Un marco de cibersabotaje no documentado anteriormente se remonta a 2005 y tenía como objetivo principal software de cálculo de alta precisión para falsificar resultados, según un nuevo informe publicado por SentinelOne. El nombre en clave es fast16.
«Al combinar esta carga útil con un mecanismo de autopropagación, los atacantes pretenden realizar cálculos igualmente inexactos en toda la instalación», dijeron los investigadores Vitaly Kamruk y Juan Andrés Guerrero Saad en un informe exhaustivo publicado esta semana.
Se estima que Fast16 es al menos cinco años mayor que Stuxnet, la primera arma digital conocida diseñada para un comportamiento destructivo y la base del rootkit de robo de información Duqu. Se cree ampliamente que Stuxnet fue desarrollado por Estados Unidos e Israel.
También es anterior a las primeras muestras conocidas de Flame (también conocido como Flamer y Skywiper), otro malware sofisticado descubierto en 2012, que incluía una máquina virtual Lua para lograr sus objetivos. Este descubrimiento convierte a fast16 en el primer malware de Windows que incorpora un motor Lua.
SentinelOne dijo que hizo este descubrimiento después de identificar un artefacto llamado «svcmgmt.exe» que a primera vista parece ser un contenedor de servicio genérico en modo consola. Según VirusTotal, esta muestra tiene una marca de tiempo de creación del archivo del 30 de agosto de 2005 y se subió más de una década después, el 8 de octubre de 2016.
Sin embargo, una inspección más cercana reveló una máquina virtual Lua 5.0 integrada y un contenedor de código de bytes cifrado, así como varios otros módulos que se vinculan directamente al sistema de archivos, registro, controles de servicio y API de red de Windows NT.
La lógica central del implante reside dentro del código de bytes de Lua, y el binario también hace referencia al controlador del kernel (‘fast16.sys’) a través de la ruta PDB (un archivo con una fecha de creación del 19 de julio de 2005). Este archivo es responsable de interceptar y modificar el código ejecutable que se lee desde el disco. Sin embargo, tenga en cuenta que el controlador no puede ejecutarse en Windows 7 y sistemas más nuevos.
SentinelOne anunció un descubrimiento que podría indicar los orígenes de la herramienta: encontró una referencia a la cadena «fast16» en un archivo de texto llamado «drv_list.txt». Este archivo contenía una lista de controladores diseñados para su uso en ataques de amenazas persistentes avanzadas (APT). El archivo de aproximadamente 250 KB fue filtrado hace nueve años por un misterioso grupo de hackers.
En 2016 y 2017, el grupo, que se hace llamar Shadow Brokers, publicó grandes cantidades de datos supuestamente robados de Equation Group, un grupo de amenazas persistentes avanzadas con presuntos vínculos con la Agencia de Seguridad Nacional (NSA) de Estados Unidos. Esto incluyó una serie de herramientas de piratería y exploits bajo el sobrenombre de «Lost in Translation». Los archivos de texto fueron uno de ellos.
«Las cadenas dentro de svcmgmt.exe proporcionaron un vínculo forense clave en esta investigación», dijo SentinelOne. «La ruta PDB une una filtración de 2017 de firmas de decolisión utilizadas por los operadores de la NSA, un módulo ‘portador’ multimodal impulsado por Lua compilado en 2005 y, en última instancia, su carga útil sigilosa, un controlador de kernel diseñado para sabotaje de precisión».
Svcmgmt.exe se describe como un «módulo portador adaptable» que puede cambiar su comportamiento según los argumentos de la línea de comandos pasados y puede ejecutarse como un servicio de Windows o ejecutar código Lua. Viene con tres cargas útiles diferentes: código de bytes Lua que maneja la lógica de configuración, propagación y coordinación, un ConnotifyDLL auxiliar (‘svcmgmt.dll’) y un controlador de kernel ‘fast16.sys’.
Específicamente, está diseñado para lanzar un gusano de Administrador de control de servicios (SCM) que analiza la configuración, se escala como un servicio, opcionalmente implementa un implante de kernel y escanea servidores de red para propagar malware a otros entornos Windows 2000/XP usando credenciales débiles o predeterminadas.
Un aspecto importante que vale la pena mencionar aquí es que la propagación solo ocurre cuando se fuerza manualmente o cuando no se encuentran productos de seguridad comunes en el sistema después de escanear las claves de registro relevantes en la base de datos del registro de Windows. Algunas de las herramientas de seguridad que verifican explícitamente son de Agnitum, F-Secure, Kaspersky, McAfee, Microsoft, Symantec, Sygate Technologies y Trend Micro.
La presencia de Sygate Technologies es otro indicador de que esta muestra se desarrolló a mediados de la década de 2000. La empresa fue adquirida por Symantec, ahora parte de Broadcom, en agosto de 2025, y las ventas y el soporte para sus productos se suspendieron oficialmente en noviembre.
«Este nivel de conciencia ambiental es notable para una herramienta en estos tiempos», dijo SentinelOne. «Si bien la lista de productos puede no parecer completa, probablemente refleja productos que los operadores esperaban que estuvieran presentes en las redes objetivo cuya tecnología de detección podría amenazar la naturaleza sigilosa de las operaciones encubiertas».
ConnotifyDLL, por otro lado, se llama cada vez que el sistema establece una nueva conexión de red utilizando el Servicio de acceso remoto (RAS) y escribe los nombres de la conexión remota y local en una canalización con nombre («\\.\pipe\p577»).
Sin embargo, es este controlador el que altera la precisión, al atacar los ejecutables compilados con el compilador Intel C/C++, realizar parches basados en reglas y secuestrar el flujo de ejecución mediante la inyección de código malicioso. Uno de esos bloques puede corromper los cálculos matemáticos y, en particular, atacar las herramientas utilizadas en ingeniería civil, física y simulación de procesos físicos.
«Al introducir errores pequeños pero sistemáticos en los cálculos del mundo físico, este marco puede socavar o ralentizar los programas de investigación científica, degradar los sistemas diseñados con el tiempo e incluso causar daños catastróficos», explicó SentinelOne.
«Al separar un contenedor de ejecución relativamente estable de la carga útil cifrada específica de la tarea, los desarrolladores crearon un marco reutilizable y compartimentado que puede adaptarse a diferentes entornos objetivo y objetivos operativos, dejando el binario del operador externo prácticamente sin cambios entre campañas».
Después de analizar 101 reglas definidas en el motor de parches y cotejarlas con el software utilizado a mediados de la década de 2000, se determinó que tres suites de ingeniería y simulación de alta precisión eran potencialmente el objetivo: LS-DYNA 970, PKPM y plataformas de modelado de dinámica de fluidos MOHID.
LS-DYNA, ahora parte de Ansys Suite, es un paquete de software de simulación multifísica de uso general que se utiliza para simular colisiones, impactos y explosiones. En septiembre de 2024, el Instituto para la Ciencia y la Seguridad Internacional (ISIS) publicó un informe que detalla la posibilidad de que Irán haya utilizado software de modelado informático como LS-DYNA en relación con su desarrollo de armas nucleares, basado en una revisión de 157 publicaciones académicas en literatura científica y técnica de código abierto.
Este conjunto de pruebas se considera significativo, dado que la instalación de enriquecimiento de uranio de Natanz fue atacada por el gusano Stuxnet en junio de 2010, que se dice que dañó gravemente el programa nuclear de Irán. Además, en febrero de 2013, Symantec reveló una versión inicial de Student que se utilizó para atacar el programa nuclear de Irán en noviembre de 2007, y proporcionó pruebas en noviembre de 2005 de que estaba en desarrollo.
«Stuxnet 0.5 es la versión más antigua de Stuxnet analizada», dijo Symantec en ese momento. «Stuxnet 0.5 incluía una estrategia de ataque alternativa que cerró una válvula dentro de la instalación de enriquecimiento de uranio en Natanz, Irán, lo que podría haber causado daños significativos a las centrifugadoras y a todo el sistema de enriquecimiento de uranio».
En conjunto, los últimos hallazgos «obligan a una reevaluación» de la línea de tiempo histórica del desarrollo de operaciones encubiertas de sabotaje cibernético, dijo Sentinel One, y agregó que muestran que las herramientas de sabotaje cibernético patrocinadas por el estado contra objetivos físicos fueron completamente desarrolladas y desplegadas a mediados de la década de 2000.
Los investigadores concluyeron que «en el panorama general de la evolución de APT, fast16 cierra la brecha entre un programa de desarrollo temprano, en gran medida invisible, y los kits de herramientas basados en Lua y LuaJIT, más ampliamente documentados, que siguieron». «Este es un punto de referencia para comprender cómo los actores avanzados piensan sobre la capacidad de los estados para remodelar el mundo físico a través de implantes, sabotajes y software a largo plazo. Fast16 fue un presagio silencioso de una nueva forma de estrategia nacional que ha tenido éxito en secreto hasta el día de hoy».
Source link
