Investigadores de ciberseguridad han detectado en la naturaleza una nueva herramienta de post-explotación llamada Splinter, diseñada para operaciones de red team. Palo Alto Networks Unit 42 reveló el hallazgo tras descubrir el programa en los sistemas de varios clientes.
¿Qué es Splinter y por qué es una amenaza potencial?
Splinter es una herramienta creada en el lenguaje de programación Rust y, aunque no es tan avanzada como Cobalt Strike, cuenta con características estándar para realizar pruebas de penetración. Estas herramientas suelen utilizarse en simulaciones de adversarios para identificar vulnerabilidades en redes corporativas. Sin embargo, en manos equivocadas, pueden convertirse en un arma peligrosa para cibercriminales.
Características técnicas de Splinter
Unit 42 descubrió que Splinter incluye configuraciones típicas de herramientas de post-explotación, como la información del servidor de comando y control (C2). Este servidor permite que los atacantes mantengan contacto y control sobre la herramienta a través de HTTPS.
El modelo de control de Splinter se basa en tareas obtenidas desde el servidor C2, lo que le permite ejecutar comandos en sistemas Windows, inyectar procesos de manera remota, cargar y descargar archivos, obtener información de cuentas en servicios en la nube, e incluso eliminarse del sistema para evitar ser detectado.
Una peculiaridad de Splinter es su gran tamaño, de alrededor de 7 MB, debido a la presencia de 61 crates de Rust, un aspecto que lo distingue de otras herramientas similares.
Sin rastro de actores maliciosos… por ahora
A pesar de su capacidad, Unit 42 afirmó que hasta la fecha no ha detectado actividad maliciosa asociada a Splinter. No se ha identificado a su desarrollador ni su origen, lo que mantiene alerta a las organizaciones de seguridad.
Nuevas técnicas de ataque emergen en el panorama
El descubrimiento de Splinter no es el único reto que enfrentan las organizaciones. Deep Instinct recientemente detalló dos métodos de ataque que podrían ser explotados para inyecciones de código sigilosas y escalamiento de privilegios. Los investigadores lograron burlar la detección de soluciones EDR mediante la escritura en procesos secundarios y la carga de bibliotecas (DLL) maliciosas antes de que se establecieran los ganchos de seguridad.
Por otro lado, Check Point reveló en julio de 2024 una técnica innovadora de inyección de procesos llamada “Thread Name-Calling”, que permite la inserción de shellcode en un proceso en ejecución, aprovechando la API de descripciones de hilos. Este enfoque evade productos de protección de endpoints al incorporar componentes más antiguos, como las inyecciones APC, que siguen representando una amenaza.
Conclusión: La evolución constante de las amenazas
El surgimiento de herramientas como Splinter, sumado a las nuevas técnicas de inyección de código, subraya la importancia de que las organizaciones mantengan actualizadas sus capacidades de prevención y detección. Los cibercriminales están siempre al acecho de nuevas oportunidades para comprometer infraestructuras empresariales, y cualquier técnica efectiva será rápidamente adoptada.