Deuterbear RAT aprovechado por hackers chinos para lanzar campañas de ciberespionaje
Investigaciones recientes sobre ciberseguridad han revelado el uso de un troyano de acceso remoto (RAT) llamado Deuterbear por parte del grupo de hackers BlackTech, vinculado a China, en sus campañas de ciberespionaje en la región de Asia y el Pacífico.
Según los investigadores de Trend Micro, Pierre Lee y Cyris Tseng, Deuterbear comparte similitudes con el malware Waterbear, pero incluye mejoras como soporte para complementos de shellcode, evitar apretones de manos durante la operación RAT y el uso de HTTPS para la comunicación de comando y control (C&C). . Los avances notables en Deuterbear sobre Waterbear incluyen un formato shellcode, capacidades de escaneo anti-memoria y una clave de tráfico compartida con su descargador.
Table of Contents
Deuterbear tiene otros vínculos
BlackTech, activo desde al menos 2007, también es conocido por varios nombres como Circuit Panda, Earth Hundun, HUAPI, Manga Taurus, Palmerworm, Red Djinn y Temp.Overboard. Históricamente, este grupo ha implementado el malware Waterbear durante casi 15 años. Sin embargo, las campañas observadas desde octubre de 2022 han incorporado la variante Deuterbear actualizada.
El método de Waterbear implica el uso de un ejecutable legítimo parcheado para la carga lateral de DLL para iniciar un cargador que descifra y ejecuta un descargador, que luego contacta a un servidor C&C para recuperar el módulo RAT. El módulo se recupera dos veces de la infraestructura controlada por el atacante: la primera instancia carga un complemento Waterbear que inicia una versión diferente del descargador, que luego recupera el módulo RAT de otro servidor C&C. Básicamente, el Waterbear RAT inicial sirve como descargador de complementos, mientras que el siguiente actúa como puerta trasera para recopilar información confidencial del sistema comprometido mediante 60 comandos.
Los métodos de infección de Deuterbear pueden evadir la detección
Deuterbear sigue una vía de infección similar pero introduce ciertas modificaciones. La primera etapa utiliza un cargador para iniciar un descargador que se conecta al servidor C&C para recuperar Deuterbear RAT. Este paso intermedio establece la persistencia a través de un cargador de segunda etapa mediante carga lateral de DLL. Este cargador luego ejecuta otro descargador, que una vez más descarga el Deuterbear RAT para el robo de datos. Los investigadores señalan que solo la segunda etapa de Deuterbear suele estar presente en los sistemas infectados, ya que todos los componentes de la primera etapa se eliminan después de la instalación persistente, lo que hace que la detección y el análisis sean más desafiantes para los investigadores de amenazas.
Deuterbear es una versión simplificada de Waterbear, que conserva menos comandos pero incorpora un enfoque basado en complementos para mayor funcionalidad. Trend Micro señala que Waterbear y Deuterbear han evolucionado de forma independiente en lugar de que uno reemplace al otro.
SugarGh0st RAT apunta a organizaciones de inteligencia artificial de EE. UU.
En noticias relacionadas, Proofpoint ha detallado una campaña cibernética dirigida contra organizaciones estadounidenses involucradas en inteligencia artificial, utilizando un malware llamado SugarGh0st RAT. Esta variante personalizada de Gh0st RAT se ha dirigido anteriormente a Asia Central y Oriental. El ataque, vinculado a un actor de amenazas de habla china, implica mensajes de phishing con contenido temático de IA para entregar la carga útil de SugarGh0st a través de un cuentagotas de JavaScript. La campaña de mayo de 2024 se dirigió a menos de diez personas, con el objetivo potencial de robar información no pública sobre la IA generativa, en medio de los crecientes esfuerzos de Estados Unidos por limitar el acceso de China a las tecnologías de IA.
Este contexto incluye la acusación del Departamento de Justicia de EE. UU. de un ex ingeniero de software de Google por robar información patentada para utilizarla en empresas de tecnología afiliadas a la IA en China. El enfoque en las entidades de IA de EE. UU. sugiere un motivo estratégico para impulsar el desarrollo de la IA en China en medio de un acceso restringido a tecnologías avanzadas de empresas líderes como OpenAI y Google DeepMind.
