Un Grupo APT Chino Utiliza MAVInject.exe como LOLBIN en Ataques Dirigidos
El grupo de amenazas persistentes avanzadas (APT) conocido como Mustang Panda ha sido descubierto explotando la utilidad Microsoft Application Virtualization Injector (MAVInject.exe) como un Living-Off-The-Land Binary (LOLBIN) para inyectar cargas maliciosas en procesos legítimos y evadir la detección de software antivirus.
Descubrimiento y Alcance del Ataque
Investigadores que rastrean a este grupo como Earth Preta, han identificado más de 200 víctimas desde 2022. Los ataques de Mustang Panda se dirigen principalmente a entidades gubernamentales en la región Asia-Pacífico a través de correos electrónicos de spear-phishing que simulan provenir de agencias gubernamentales, ONG, think tanks o cuerpos de seguridad.
Anteriormente, este grupo había sido detectado utilizando Google Drive para distribuir malware y desplegar puertas traseras evasivas. En esta nueva campaña, los atacantes emplean un archivo adjunto malicioso que contiene un instalador (IRSetup.exe), el cual, si es ejecutado, extrae múltiples archivos en el sistema comprometido.
Técnica de Evasión de Antivirus
Si los productos de seguridad (ekrn.exe o egui.exe) están presentes en el sistema objetivo, Mustang Panda emplea una estrategia de evasión basada en herramientas preinstaladas en Windows 10 y versiones posteriores.
La técnica se basa en la explotación de MAVInject.exe, una herramienta de Microsoft utilizada para inyectar código en procesos en ejecución. Su uso legítimo se relaciona con la virtualización de aplicaciones mediante App-V, pero los atacantes han descubierto cómo aprovecharla para inyectar cargas maliciosas en waitfor.exe, otro proceso legítimo de Windows.
Debido a que waitfor.exe es un componente confiable del sistema operativo, el malware inyectado en él puede ejecutarse sin ser detectado por antivirus. En este caso, la carga maliciosa es una versión modificada del TONESHELL backdoor, oculta dentro de un archivo DLL (EACore.dll).
Conexión con el Servidor de Comando y Control
Una vez ejecutado, el malware establece comunicación con su servidor de comando y control en militarytc[.]com:443, enviando información del sistema y un identificador de la víctima. Además, proporciona a los atacantes un acceso remoto para ejecutar comandos y manipular archivos en el sistema infectado.
Recomendaciones de Seguridad
Ante esta nueva táctica de Mustang Panda, se recomienda a las organizaciones:
- Restringir el uso de MAVInject.exe en sistemas donde App-V no sea necesario.
- Monitorizar procesos como waitfor.exe para detectar inyecciones sospechosas.
- Actualizar regularmente las soluciones de seguridad y utilizar inteligencia de amenazas en tiempo real.
- Capacitar a los empleados en detección de correos de spear-phishing para mitigar ataques basados en ingeniería social.
El abuso de herramientas legítimas como MAVInject.exe resalta la creciente sofisticación de los grupos APT y la necesidad de enfoques proactivos en ciberseguridad. Mantenerse informado y aplicar estrategias de defensa en profundidad es clave para prevenir estos ataques.
