17 de julio de 2024Sala de prensaEspionaje cibernético / Inteligencia de amenazas Se ha observado que un actor de amenazas vinculado a China llamado APT17 ataca a empresas y entidades gubernamentales italianas utilizando una variante de un malware conocido como 9002 RAT. Los dos ataques selectivos tuvieron lugar el 24 de junio y el 2 de julio de 2024, dijo la empresa italiana de ciberseguridad TG Soft en un análisis publicado la semana pasada. «La primera campaña del 24 de junio de 2024 utilizó un documento de Office, mientras que la segunda campaña contenía un enlace», señaló la empresa. «Ambas campañas invitaban a la víctima a instalar un paquete de Skype for Business desde un enlace de un dominio similar al del gobierno italiano para transmitir una variante de 9002 RAT». APT17 fue documentado por primera vez por Mandiant (entonces FireEye), propiedad de Google, en 2013 como parte de operaciones de ciberespionaje llamadas DeputyDog y Ephemeral Hydra que aprovechaban fallas de día cero en Internet Explorer de Microsoft para vulnerar objetivos de interés. También se lo conoce con los apodos Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx y TEMP.Avengers, sin mencionar que comparte cierto nivel de superposición de herramientas con otro actor de amenazas llamado Webworm. 9002 RAT, también conocido como Hydraq y McRAT, alcanzó notoriedad como el arma cibernética preferida en la Operación Aurora que afectó a Google y otras grandes empresas en 2009. Posteriormente, también se utilizó en otra campaña de 2013 llamada Sunshop en la que los atacantes inyectaron redirecciones maliciosas en varios sitios web. Las últimas cadenas de ataques implican el uso de señuelos de phishing para engañar a los destinatarios y hacer que hagan clic en un enlace que los insta a descargar un instalador MSI para Skype for Business («SkypeMeeting.msi»). El lanzamiento del paquete MSI desencadena la ejecución de un archivo Java (JAR) a través de un Visual Basic Script (VBS), al mismo tiempo que instala el software de chat legítimo en el sistema Windows. La aplicación Java, a su vez, descifra y ejecuta el shellcode responsable de lanzar 9002 RAT. Un troyano modular, 9002 RAT viene con funciones para monitorear el tráfico de red, capturar capturas de pantalla, enumerar archivos, administrar procesos y ejecutar comandos adicionales recibidos de un servidor remoto para facilitar el descubrimiento de la red, entre otras. «El malware parece actualizarse constantemente con variantes sin disco también», dijo TG Soft. «Está compuesto por varios módulos que se activan según sea necesario por el actor cibernético para reducir la posibilidad de intercepción». ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.