Una nueva campaña de ciberespionaje utiliza la temporada de impuestos como cebo para desplegar malware avanzado mediante técnicas de “DLL Hijacking”.
Los equipos de ciberseguridad han detectado una sofisticada operación dirigida contra organizaciones en la India, orquestada por el grupo de amenazas vinculado a China conocido como “Silver Fox”. Según un nuevo análisis, este grupo ha perfeccionado sus tácticas de ingeniería social para infiltrarse en redes corporativas utilizando señuelos relacionados con el impuesto sobre la renta.
El Cebo: Pánico Fiscal
A diferencia de sus campañas anteriores centradas en la optimización de motores de búsqueda (SEO poisoning), esta vez Silver Fox ha optado por un enfoque más directo:
- El Correo: Las víctimas reciben correos electrónicos que parecen provenir del Departamento de Impuestos de la India, con asuntos urgentes sobre declaraciones o auditorías.
- El Archivo: Se adjunta un PDF con el nombre de una empresa india legítima. Al abrirlo, este redirige a un sitio web malicioso que descarga un ejecutable llamado tax_affairs.exe.
Técnica Avanzada: Secuestro de DLL
Lo que hace destacar a este ataque es su método de evasión. El archivo descargado no es el malware en sí, sino un cargador que utiliza una técnica clásica pero efectiva llamada DLL Hijacking:
- El Legítimo: El cargador suelta un ejecutable real y firmado digitalmente llamado Thunder.exe, desarrollado por la empresa china Xunlei.
- El Impostor: Junto a él, coloca una librería maliciosa llamada libexpat.dll.
- El Engaño: Cuando Windows ejecuta Thunder.exe, este busca sus librerías asociadas. Debido al orden de búsqueda predeterminado, carga la DLL maliciosa de los atacantes en lugar de la original, otorgando al malware privilegios de ejecución bajo la apariencia de un software confiable.
El Payload Final: ValleyRAT
Una vez dentro, el malware realiza comprobaciones exhaustivas para asegurarse de no estar siendo analizado por investigadores (detectando sandboxes o herramientas de monitoreo). Si el entorno es “seguro”, descifra y ejecuta en memoria el payload final: ValleyRAT.
Este Troyano de Acceso Remoto (RAT) es una herramienta poderosa que permite a Silver Fox:
- Mantener persistencia mediante claves de registro binarias.
- Capturar pulsaciones de teclado (keylogging) y credenciales.
- Transferir archivos y ejecutar comandos arbitrarios.
- Utilizar un sistema de comunicación de tres niveles (failover) para asegurar que nunca pierden contacto con sus servidores de comando y control (C2).
Implicaciones
El cambio de objetivo hacia entidades indias y el uso de señuelos fiscales localizados demuestra una clara intención de espionaje económico y político. La capacidad de Silver Fox para adaptar sus herramientas (pasando de SEO poisoning a phishing dirigido) indica que el grupo está evolucionando rápidamente para evadir las defensas regionales.
Recomendaciones
- Educación: Alertar a los empleados sobre correos fiscales inesperados, especialmente aquellos que obligan a descargar ejecutables.
- Monitoreo: Vigilar la carga de DLLs no firmadas por procesos legítimos (especialmente Thunder.exe o software de Xunlei si no se utiliza en la empresa).
- Bloqueo: Restringir la ejecución de binarios desde directorios temporales (%TEMP%), donde suele iniciar la cadena de infección.
