Los cazadores de amenazas han expuesto las tácticas de un actor de amenazas aliado a China que atacó a una organización internacional desconocida en Arabia Saudita con una puerta trasera previamente indocumentada y llamada Marsssnake.
Eset, que descubrió por primera vez la intrusión de un grupo de piratería dirigido a una entidad en marzo de 2023, dijo que la actividad es utilizar correos electrónicos de phishing de lanza para infiltrarse en objetivos de interés utilizando boletos de avión.
«Los libros no solicitados generalmente envían boletos como señuelos, con cuyo objetivo incluye organizaciones gubernamentales en Asia, África y Medio Oriente», dijo la compañía en su último informe de actividades APT para el período de octubre de 2024 a marzo de 2025.
Los ataques adjuntos por los actores de amenaza se caracterizan por el uso de puertas traseras como Chinoxy, Deedirat, Poison Ivy y Berat, que se usan ampliamente en tripulaciones de piratería china.
Se evalúa a los bookers no solicitados para compartir una superposición con clústeres rastreados como piratas y clústeres espaciales rastreados como piratas espaciales, que se descubrió desplegar al desplegar Zardors con código de puerta trasera a las organizaciones sin fines de lucro islámicas de Arabia Saudita.
La última campaña descubierta por Eslovak CyberseCurity Company en enero de 2025 incluyó el envío de correos electrónicos de phishing de Saudi Airlines sobre la reserva de vuelos a la misma organización saudita.
«Los documentos de Microsoft Word se adjuntan a los correos electrónicos, y el contenido de señuelo (…) se ha cambiado, pero se basa en PDF disponibles en línea en el sitio web de la Academia. Es una plataforma para compartir investigaciones académicas donde puede cargar archivos PDF», dijo Eset.
Cuando se lanzan, los documentos de la sala activan la ejecución de las macros VBA que se pueden decodificar en el sistema de archivos y ejecutarse.
«Varios intentos de infringir esta organización en 2023, 2024 y 2025 demuestran el fuerte interés de los bookers no solicitados en este objetivo en particular», dijo Eset.
Esta divulgación se produce como otro actor de amenaza china que fue rastreado en diciembre de 2024 como Perplejedgoblin (también conocido como APT31), que atacó a las agencias del gobierno de Europa Central para desplegar una puerta trasera para espiar, conocida como nanoslate.
ESET dijo que los recicladores digitales identificaron ataques en curso a las agencias gubernamentales de la Unión Europea, aprovechando las redes de Relé de Relé de Operaciones VPN de KMA (ORB) para ocultar el tráfico de red y desplegar Rclient, Hydrorshell y Giftbox Backdoo.
La compañía detectó por primera vez los recicladores digitales en 2021, pero se cree que estuvo activo desde al menos 2018.
«Los recicladores digitales, que probablemente están vinculados a Ke3Chang y Backdoordiplomacy, funcionan dentro de la galaxia APT15», dice Eset. «Implementarán implantes RCLiant, una variante de Project KMA Stealer. En septiembre de 2023, el grupo introdujo una nueva hidrorshell de puerta trasera, que utiliza el protobuf de Google y TLS para las comunicaciones de C&C».
Backdoor, según la compañía, permite a los actores de amenaza ejecutar cualquier comando y descargar cargas útiles adicionales del servidor.
«Marssnake y Hydrorshell son un fondo completo que permite a los atacantes ejecutar comandos arbitrarios y leer y escribir archivos hacia y desde el disco cuando se instalan en la máquina de la víctima».
«Ambos se comunican con los servidores de C&C remotos que recibieron el comando. Hasta donde sabemos, Marssnake parece ser utilizado exclusivamente por UnstalititedBooker y HydrorShell por los recicladores digitales».
Los detalles de implementación muy raros que se encuentran en Hydrorshell es que el autor eligió usar ProtoBuf para la comunicación de C&C. ProtoBuf es un lenguaje que define datos estructurados. En este caso, se utiliza para serializar los datos y se envía al servidor C&C. «
Source link
