Daggerfly, también conocido como Evasive Panda y Bronze Highland, ha actualizado ampliamente su kit de herramientas de malware para aumentar su capacidad de atacar a la mayoría de los principales sistemas operativos. El último análisis revela que Daggerfly ahora usa un marco compartido para atacar de manera efectiva los sistemas operativos Windows, Linux, macOS y Android. Esta actualización significa una escalada significativa en las capacidades del grupo, lo que le permite realizar operaciones de espionaje cibernético más sofisticadas y de mayor alcance. Esta es solo una de las muchas nuevas amenazas cibernéticas en el Reino Unido que están causando estragos. Ataques y observaciones recientes Los investigadores han observado nuevas versiones de malware implementadas en ataques recientes contra organizaciones en Taiwán y una ONG estadounidense con sede en China. Estos desarrollos subrayan el compromiso continuo del grupo de mejorar su alcance operativo y efectividad. Daggerfly: una década de espionaje Daggerfly es un grupo APT (Amenaza persistente avanzada) chino que ha estado activo durante al menos una década, realizando operaciones de espionaje a nivel internacional y dentro de China. El grupo es conocido principalmente por desarrollar y utilizar el marco de malware MgBot, que cuenta con una variedad de capacidades de recopilación de información. En particular, en abril de 2023, Symantec informó sobre una campaña de Daggerfly dirigida a una organización de telecomunicaciones en África, durante la cual el grupo utilizó nuevos complementos creados con el marco de malware MgBot. Campañas y herramientas En marzo de 2024, ESET destacó las campañas en curso de Daggerfly dirigidas a los tibetanos en varios países y territorios. Los investigadores observaron el uso por parte del grupo de una puerta trasera previamente no documentada llamada Nightdoor. Según el informe publicado el 23 de julio de 2024, Daggerfly puede actualizar rápidamente su conjunto de herramientas en respuesta a la exposición, lo que le permite continuar con sus actividades de espionaje con una interrupción mínima. Macma y otras herramientas También ha habido evidencia que sugiere que la puerta trasera Macma de macOS, documentada por primera vez por Google en 2021, fue desarrollada por Daggerfly. El backdoor modular tiene una gama de funcionalidades diseñadas para la exfiltración de datos, incluyendo la identificación de dispositivos, ejecución de comandos, captura de pantalla, registro de teclas, captura de audio y carga y descarga de archivos. Una segunda versión de Macma incluye actualizaciones incrementales, como registro de depuración adicional y módulos actualizados en sus datos adjuntos. El módulo principal de Macma exhibió modificaciones extensas, incluyendo nueva lógica para recolectar la lista del sistema de un archivo y código modificado en la función AudioRecorderHelper. Symantec ha atribuido Macma a Daggerfly después de observar dos variantes del backdoor Macma conectadas a un servidor de comando y control (C&C) también utilizado por un dropper MgBot. Macma y otro malware Daggerfly conocido, incluido MgBot, contienen código de una única biblioteca o marco compartido, cuyos elementos se han utilizado para crear amenazas dirigidas a sistemas Windows, macOS, Linux y Android. Suzafk: un nuevo backdoor de varias etapas Los investigadores también destacaron el uso por parte de Daggerfly del backdoor de Windows Suzafk, que ESET documentó por primera vez como Nightdoor en marzo de 2024. Suzafk es un backdoor de varias etapas que utiliza TCP o OneDrive para C&C. Se desarrolló utilizando la misma biblioteca compartida utilizada en MgBot, Macma y varias otras herramientas de Daggerfly. Los investigadores observaron una configuración que indica que la funcionalidad para conectarse a OneDrive está en desarrollo o presente en diferentes variantes de malware. Las nuevas ciberamenazas en el Reino Unido tienen capacidades más amplias Además de estas herramientas, existe evidencia de la capacidad de Daggerfly para troyanizar APK de Android, interceptar mensajes SMS, interceptar solicitudes de DNS y desarrollar malware dirigido al sistema operativo Solaris. Esta amplia gama de capacidades resalta el enfoque sofisticado y versátil del grupo para el ciberespionaje. Entonces, ¿qué podemos hacer con las nuevas ciberamenazas en el Reino Unido? La mejora continua de Daggerfly de su kit de herramientas contra malware subraya la naturaleza cambiante de las ciberamenazas planteadas por los grupos de amenazas persistentes avanzadas. Las organizaciones deben permanecer alertas y adoptar medidas integrales de ciberseguridad para protegerse contra ataques tan sofisticados. Si necesita ayuda para proteger su empresa contra malware y ransomware, comuníquese con el departamento de ciberseguridad de Neuways. Siempre estamos aquí para ayudar y nuestro equipo se comunicará con usted rápidamente. hello@neuways.com 01283 753333