El grupo de ciberespionaje Confucio, activo desde al menos 2013 y con foco en el sur de Asia, ha lanzado una nueva campaña dirigida a Pakistán. El grupo está evolucionando tácticamente al mezclar familias de malware como WooperStealer (para robo de datos) y el backdoor Anondoor, al tiempo que perfecciona sus métodos de entrega para evadir la detección.
Tácticas de infiltración y armamento de Confucio
Confucio mantiene un enfoque constante en el espionaje contra agencias gubernamentales, defensa y militares, utilizando archivos de uso común para iniciar sus ataques.
Vectores de Entrega Recientes
Las campañas recientes han demostrado una adaptación en los vectores de entrega, todos basados en la ingeniería social y la ofuscación:
- Diciembre de 2024: Uso de archivos .PPSX (presentación de PowerPoint) que contienen macros o scripts maliciosos. Estos archivos inician el ataque aprovechando la carga lateral de DLL para implementar WooperStealer.
- Marzo de 2025: Acceso a través de accesos directos de Windows (.LNK), que están configurados para cargar DLL maliciosas y ejecutar WooperStealer.
- Agosto de 2025: Empleo de archivos .LNK para desplegar el backdoor Anondoor, lo que indica una escalada en la sofisticación de sus herramientas.
Funcionalidad del malware
La principal táctica es la carga lateral de DLL, donde el malware se disfraza haciendo que una aplicación legítima cargue una DLL maliciosa con un nombre similar al que espera. Esto dificulta la detección por parte de muchos sistemas antivirus.
- WooperStealer: Utilizado para el robo inicial de datos.
- Anondoor Backdoor: Este backdoor tiene capacidades más amplias que el simple robo de datos, permitiendo:
- Exfiltración de información del dispositivo.
- Toma de capturas de pantalla.
- Listado de archivos y carpetas.
- Extracción de contraseñas almacenadas en navegadores como Google Chrome.
- Recepción de instrucciones remotas (comandos) para persistencia.
Recomendaciones
- Formación al Usuario Final
- No Abrir Archivos no Verificados: Educar a los usuarios para que no abran archivos .PPSX, .LNK o documentos con macros sin una verificación rigurosa del remitente y del contexto.
- Restricción de Macros: Desalentar y, de ser posible, deshabilitar por defecto la ejecución de macros en documentos de oficina, o permitir su uso solo en archivos firmados digitalmente por la organización.
- Control Estricto de Ejecución de Código
- Bloqueo de carga lateral de DLL: Implementar políticas de control de ejecución (AppLocker, Windows Defender Application Control – WDAC) que solo permiten la carga de DLL que estén firmadas digitalmente o provengan exclusivamente de ubicaciones confiables y seguras.
- Auditoría de Rutas: Inspeccionar qué DLLs cargan una aplicación y revisar las rutas de búsqueda de DLLs para identificar y asegurar caminos inseguros que podrían ser explotados.
- Principio de Mínimo Privilegio (PLP)
- Limitar Permisos: Asegurarse de que los usuarios finales operen siempre con los mínimos privilegios necesarios. El daño potencial de un compromiso aumenta exponencialmente si la cuenta del usuario tiene más permisos de los requeridos.
- Separación de Roles: Implementar una separación clara entre cuentas de uso general y cuentas de administración para contener el impacto de una brecha inicial.
- Detección por Comportamiento
- EDR Avanzado: Utilizar soluciones Antivirus/EDR (Detección y Respuesta en el Endpoint) que se centran en la detección de comportamiento, buscando actividades típicas de malware como la toma de capturas de pantalla, el listado masivo de archivos, o la exfiltración de datos.
