Variantes del malware Sagerunex: una mirada más cercana a la amenaza cibernética en evolución

A Backdoor in a Ruby Password Checking Library

Los investigadores de ciberseguridad han descubierto nuevos avances en las actividades en curso del grupo de piratas informáticos conocido como Lotus Panda. Este actor de amenazas, que se cree que tiene vínculos con China, ha estado atacando activamente a organizaciones gubernamentales, manufactureras, de telecomunicaciones y de medios de comunicación en varias regiones, incluidas Filipinas, Vietnam, Hong Kong y Taiwán. En el centro de sus operaciones se encuentra un paquete de malware en evolución conocido como Sagerunex, que se ha utilizado como puerta trasera para el espionaje cibernético desde al menos 2016.

¿Qué es Sagerunex?

Sagerunex es un sofisticado malware de puerta trasera diseñado para infiltrarse en sistemas específicos, recopilar información del host y exfiltrar datos a un servidor externo controlado por atacantes. El malware ha sufrido modificaciones significativas a lo largo de los años, y sus últimas variantes muestran capacidades mejoradas para mantener la persistencia y evitar la detección. Estas modificaciones son un testimonio de los esfuerzos continuos de Lotus Panda por refinar sus herramientas y mejorar sus operaciones de espionaje cibernético.

Sagerunex, que originalmente se derivaba de un malware más antiguo llamado Evora, sirve como punto de entrada a las redes comprometidas. Una vez dentro, establece un canal de comunicación encubierto que permite a los atacantes emitir comandos de forma remota. Las últimas versiones del malware aprovechan servicios en línea ampliamente utilizados como Dropbox , X (anteriormente Twitter) y Zimbra, utilizándolos como túneles de comando y control (C2). Al aprovechar estas plataformas legítimas, los atacantes pueden eludir las medidas de seguridad convencionales y mantener el acceso a largo plazo a los sistemas comprometidos.

¿Qué buscan los atacantes?

El objetivo principal de las campañas de Lotus Panda es realizar espionaje cibernético mediante la recopilación de información confidencial de entidades específicas. El malware permite a los atacantes:

  • Información del sistema de recolección : Sagerunex recopila detalles sobre la máquina host, incluidas las credenciales del usuario, los procesos en ejecución y las configuraciones de red.
  • Ejecutar comandos remotos : la puerta trasera permite a los actores de amenazas ejecutar comandos en dispositivos comprometidos, lo que les proporciona un alto grado de control sobre las máquinas infectadas.
  • Robo de datos : la información robada a menudo se comprime y se cifra antes de enviarse a servidores remotos, lo que hace que la detección y el análisis sean más difíciles para los equipos de ciberseguridad.
  • Mantener el sigilo y la persistencia : al incrustarse en servicios web legítimos, el malware garantiza que puede evadir las herramientas de seguridad y continuar operando dentro de redes comprometidas durante períodos prolongados.

Una característica notable de la variante de correo web Zimbra de Sagerunex es su capacidad de recibir instrucciones de comandos a través del contenido del correo electrónico. Los atacantes insertan comandos en los mensajes de correo de Zimbra y el malware escanea en busca de instrucciones legítimas. Si se detectan comandos válidos, se ejecutan; de lo contrario, se elimina el contenido del mensaje para evitar levantar sospechas. Este enfoque innovador pone de relieve la creciente sofisticación de las operaciones cibernéticas de Lotus Panda.

¿Cómo funciona Sagerunex?

Aunque el método exacto de infección inicial sigue sin estar claro, Lotus Panda tiene antecedentes de emplear campañas de phishing selectivo y ataques de abrevadero. Estas técnicas implican:

  • Spear-Phishing : envío de correos electrónicos cuidadosamente elaborados que engañan a los destinatarios para que hagan clic en enlaces maliciosos o abran archivos adjuntos infectados.
  • Ataques Watering Hole : comprometen sitios web confiables que las organizaciones objetivo visitan con frecuencia, lo que permite que se distribuya malware a través de descargas de apariencia legítima.

Una vez dentro de un sistema, Sagerunex procede a realizar actividades de reconocimiento, recopilando información sobre el entorno de red. Se ejecutan comandos como net, tasklist, ipconfig y netstat para identificar la arquitectura del sistema, los procesos en ejecución y las conexiones de red. Si el acceso a Internet está restringido, el malware puede adaptarse utilizando la configuración de proxy del objetivo o implementando la herramienta de proxy Venom para establecer una conexión externa.

Las herramientas adicionales implementadas junto con Sagerunex incluyen:

  • Un ladrón de cookies : extrae las credenciales almacenadas del navegador Chrome, lo que potencialmente otorga acceso a cuentas y servicios adicionales.
  • Programas de escalada de privilegios : ajusta los permisos de los usuarios para otorgar acceso de nivel superior a los atacantes.
  • Herramientas de cifrado y compresión de datos : empaqueta de forma segura datos robados para su exfiltración, lo que dificulta que los profesionales de la ciberseguridad detecten transmisiones no autorizadas.

Implicaciones para la ciberseguridad

La evolución continua de Sagerunex plantea un desafío importante para los equipos de ciberseguridad, en particular en los sectores gubernamentales y de infraestructura crítica. El uso de servicios legítimos para la comunicación y la exfiltración de datos complica los esfuerzos de detección, ya que las medidas de seguridad tradicionales pueden pasar por alto actividades aparentemente benignas que involucran plataformas como Dropbox y Zimbra.

Las organizaciones deben adoptar un enfoque proactivo para defenderse de este tipo de amenazas. Las estrategias recomendadas incluyen:

  • Fortalecimiento de la seguridad del correo electrónico : implementar un filtrado de correo electrónico avanzado y capacitar a los empleados para reconocer los intentos de phishing puede reducir el riesgo de infección inicial.
  • Monitoreo del tráfico de red : analizar las comunicaciones salientes para detectar actividad inusual puede ayudar a identificar canales C2 ocultos.
  • Mejora de la protección de puntos finales : la implementación de herramientas de análisis de comportamiento puede detectar procesos sospechosos que indiquen actividad de malware.
  • Aplicación de los principios de confianza cero : restringir el acceso en función de identidades verificadas e implementar estrategias de segmentación puede limitar la capacidad de un atacante de moverse lateralmente dentro de una red.

Reflexiones finales

La aparición de nuevas variantes de Sagerunex pone de relieve la adaptabilidad y la persistencia de los actores de amenazas cibernéticas como Lotus Panda. A medida que sus tácticas continúan evolucionando, también deben hacerlo las defensas de las organizaciones atacadas. Al comprender las capacidades y los objetivos de este malware, las empresas y las entidades gubernamentales pueden tomar las medidas necesarias para fortalecer su postura de ciberseguridad y minimizar los riesgos que plantean estas amenazas cada vez más sofisticadas.

En Willa
March 7, 2025
Malware, Trojan
Spanish
March 7, 2025
Malware, Trojan

Entradas populares

¿Qué es el archivo OperaGXSetup.exe y es malicioso?

Hace 11 months

Eporner.com y por qué sus excesivas ventanas emergentes son...

Hace 12 days

Tome nota: alguien lo agregó como su estafa de correo...

Hace 10 months

HackTool:Win32/Crack: una amenaza maliciosa que puede dañar...

Hace 7 months

Una amenaza potencialmente grave: Trojan:Win32/Suschil!rfn

Hace 19 days

¿Qué es la amenaza del caballo de Troya Packunwan y cómo puede...

Hace 11 months
Spanish
Cargando...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.

Casa

Productos

Cyclonis Password Manager Cyclonis World Time

Soporte

Archivos de ayuda Preguntas frecuentes Downloads Inquiries & Support

Empresa

Sobre Nosotros Contact Us Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Política de privacidad Política de cookies Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows es una marca comercial de Microsoft, registrada en EE. UU. Y otros países.
Mac, iPhone, iPad y App Store son marcas comerciales de Apple Inc., registradas en EE. UU. Y otros países.
iOS es una marca comercial registrada de Cisco Systems, Inc. y / o sus afiliadas en los Estados Unidos y algunos otros países.
Android y Google Play son marcas comerciales de Google LLC.