El prolífico grupo de espionaje chino Daggerfly (también conocido como Evasive Panda, Bronze Highland) ha actualizado ampliamente su kit de herramientas de malware, aumentando sus capacidades para atacar a la mayoría de los principales sistemas operativos (SO), según un análisis de Symantec. Los últimos desarrollos sugieren que el grupo está utilizando un marco compartido que le permite atacar de manera efectiva a Windows, Linux, macOS y Android OS. Los investigadores observaron que el grupo implementaba nuevas versiones de malware en ataques recientes contra organizaciones en Taiwán y una ONG estadounidense con sede en China. Explicación de Daggerfly Daggerfly es un grupo APT chino que ha estado activo durante al menos una década, realizando operaciones de espionaje tanto a nivel internacional como interno en China. El grupo es principalmente conocido por su desarrollo y uso del marco de malware MgBot, que tiene una variedad de capacidades de recopilación de información. En abril de 2023, Symantec informó sobre una campaña de Daggerfly dirigida a una organización de telecomunicaciones en África, en la que el grupo utilizó nuevos complementos creados con el marco de malware MgBot. En marzo de 2024, ESET destacó las campañas en curso de Daggerfly dirigidas a los tibetanos en varios países y territorios. Los investigadores observaron el uso por parte del grupo de una puerta trasera previamente no documentada llamada Nightdoor. «Daggerfly parece ser capaz de responder a la exposición actualizando rápidamente su conjunto de herramientas para continuar con sus actividades de espionaje con una interrupción mínima», escribió Symantec en el nuevo análisis, publicado el 23 de julio de 2024. Últimas actualizaciones del arsenal de Daggerfly Symantec dijo que ha encontrado evidencia que sugiere que la puerta trasera Macma de macOS fue desarrollada por Daggerfly. Macma fue documentada por primera vez por Google en 2021, pero parece haber estado en uso desde al menos 2019. El análisis inicial de Google destacó que la puerta trasera modular tiene una gama de funcionalidades diseñadas para la exfiltración de datos, que incluyen huellas dactilares del dispositivo, ejecución de comandos, captura de pantalla, registro de teclas, captura de audio y carga y descarga de archivos. Una segunda versión de Macma contiene actualizaciones incrementales de esta funcionalidad existente, incluido el registro de depuración adicional y módulos actualizados en sus datos adjuntos. Su módulo principal exhibió evidencia de una modificación más extensa, incluida una nueva lógica para recopilar la lista del sistema de un archivo y código modificado en la función AudioRecorderHelper. Symantec ha atribuido Macma a Daggerfly después de observar dos variantes de la puerta trasera Macma conectadas a un servidor de comando y control (C&C) que también fue utilizado por un dropper MgBot. Además, Macma y otros programas maliciosos conocidos de Daggerfly, incluido Mgbot, contienen código de una única biblioteca o marco compartido, cuyos elementos se han utilizado para crear amenazas para Windows, macOS, Linux y Android. Los investigadores también destacaron el uso por parte de Daggerfly de la puerta trasera de Windows Suzafk, que ESET documentó por primera vez como Nightdoor en marzo de 2024. Suzafk es una puerta trasera de varias etapas capaz de usar TCP o OneDrive para C&C. Se desarrolló utilizando la misma biblioteca compartida utilizada en Mgbot, Macma y varias otras herramientas de Daggerfly. Los investigadores observaron una configuración que indica que la funcionalidad para conectarse a OneDrive está en desarrollo o presente en otras variantes del malware. Además de las herramientas mencionadas anteriormente, Symantec afirmó haber visto evidencia de la capacidad de Daggerfly para troyanizar APK de Android, herramientas de intercepción de SMS, herramientas de intercepción de solicitudes de DNS e incluso familias de malware dirigidas al sistema operativo Solaris.