05 de septiembre de 2024Ravie LakshmananAtaque cibernético / Malware Se ha observado que el actor de amenazas de habla china conocido como Earth Lusca utiliza una nueva puerta trasera denominada KTLVdoor como parte de un ciberataque dirigido a una empresa comercial anónima con sede en China. El malware no denunciado anteriormente está escrito en Golang y, por lo tanto, es un arma multiplataforma capaz de atacar tanto a los sistemas Microsoft Windows como a Linux. «KTLVdoor es un malware altamente ofuscado que se hace pasar por diferentes utilidades del sistema, lo que permite a los atacantes realizar una variedad de tareas que incluyen manipulación de archivos, ejecución de comandos y escaneo remoto de puertos», dijeron los investigadores de Trend Micro Cedric Pernet y Jaromir Horejsi en un análisis publicado el miércoles. Algunas de las herramientas que suplanta KTLVdoor incluyen sshd, Java, SQLite, bash y edr-agent, entre otras, y el malware se distribuye en forma de biblioteca de vínculos dinámicos (.dll) o un objeto compartido (.so). Quizás el aspecto más inusual del grupo de actividades es el descubrimiento de más de 50 servidores de comando y control (C&C), todos alojados en la empresa china Alibaba, que han sido identificados como comunicados con variantes del malware, lo que aumenta la posibilidad de que la infraestructura pueda ser compartida con otros actores de amenazas chinos. Se sabe que Earth Lusca está activo desde al menos 2021, orquestando ciberataques contra entidades del sector público y privado en Asia, Australia, Europa y América del Norte. Se estima que comparte algunas superposiciones tácticas con otros conjuntos de intrusiones rastreados como RedHotel y APT27 (también conocidos como Budworm, Emissary Panda y Iron Tiger). KTLVdoor, la última incorporación al arsenal de malware del grupo, está altamente ofuscado y recibe su nombre del uso de un marcador llamado «KTLV» en su archivo de configuración que incluye varios parámetros necesarios para cumplir con sus funciones, incluidos los servidores C&C a los que conectarse. Una vez inicializado, el malware inicia el contacto con el servidor C&C en un bucle, a la espera de que se ejecuten más instrucciones en el host comprometido. Los comandos admitidos le permiten descargar/cargar archivos, enumerar el sistema de archivos, iniciar un shell interactivo, ejecutar shellcode e iniciar el escaneo utilizando ScanTCP, ScanRDP, DialTLS, ScanPing y ScanWeb, entre otros. Dicho esto, no se sabe mucho sobre cómo se distribuye el malware y si se ha utilizado para atacar a otras entidades en todo el mundo. «Esta nueva herramienta es utilizada por Earth Lusca, pero también podría compartirse con otros actores de amenazas de habla china», señalaron los investigadores. «Al ver que todos los servidores C&C estaban en direcciones IP del proveedor chino Alibaba, nos preguntamos si la apariencia general de este nuevo malware y el servidor C&C no podrían ser una etapa temprana de prueba de nuevas herramientas». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.