Uno de los grupos de hackers tecnológicamente más avanzados del mundo tiene una nueva puerta trasera que es tan sofisticada como sus creadores.
Apodado Titanium por los investigadores de seguridad de Kaspersky Lab que lo descubrieron, el malware es la carga útil final entregada en una secuencia de ataque larga y enrevesada. La cadena de ataque utiliza una gran cantidad de trucos inteligentes para evadir la protección antivirus. Esos trucos incluyen el cifrado, la imitación de controladores y software de dispositivos comunes, infecciones solo de memoria y una serie de cuentagotas que ejecutan el código malicioso en una secuencia de varias etapas. Otro medio más de permanecer bajo el radar son los datos ocultos entregados esteganográficamente en una imagen PNG.
El nombre de una contraseña utilizada para cifrar un archivo malicioso, Titanium fue desarrollado por Platinum, un grupo de amenazas persistentes avanzadas que se enfoca en la región de Asia-Pacífico, muy probablemente en nombre de una nación.
“El APT de titanio tiene un esquema de infiltración muy complicado”, escribieron los investigadores de Kaspersky Lab en una publicación. “Implica numerosos pasos y requiere una buena coordinación entre todos ellos. Además, ninguno de los archivos del sistema de archivos puede detectarse como malicioso debido al uso de tecnologías de encriptación y sin archivos. Otra característica que dificulta la detección es la imitación de software conocido”.
Titanium utiliza varios métodos diferentes para infectar inicialmente a sus objetivos y propagarse de una computadora a otra. Una es una intranet local que ya ha sido comprometida con malware. Otro vector es un archivo SFX que contiene una tarea de instalación de Windows. Un tercero es el shellcode que se inyecta en el proceso winlogon.exe (todavía se desconoce cómo sucede esto). El resultado final es una puerta trasera sigilosa y con todas las funciones que puede:
- Lea cualquier archivo de un sistema de archivos y envíelo a un servidor controlado por un atacante
- Suelte un archivo o elimínelo del sistema de archivos
- Suelta un archivo y ejecútalo
- Ejecute una línea de comando y envíe los resultados de la ejecución al servidor de control del atacante
- Actualizar parámetros de configuración (excepto la clave de cifrado AES)
Platinum ha estado operando desde al menos 2009, según un informe detallado que Microsoft publicó en 2023. El grupo se enfoca principalmente en el robo de propiedad intelectual confidencial relacionada con intereses gubernamentales. Platinum a menudo se basa en ataques de phishing selectivo y de día cero.
Curiosamente, Kaspersky Lab dice que aún no ha detectado ninguna actividad actual relacionada con Titanium. No está claro si eso se debe a que el malware no está en uso o si es demasiado difícil detectar las computadoras infectadas.