Un nuevo grupo de cibercriminales, ShadowSilk, ha lanzado una serie de ataques dirigidos a organismos gubernamentales en Asia Central y la región de APAC. Han afectado a entre 35 y 36 entidades en países como Uzbekistán, Kirguistán, Myanmar, Tayikistán, Pakistán y Turkmenistán. La mayoría de las víctimas son dependencias estatales, aunque también hay casos en los sectores de energía, manufactura, comercio minorista y transporte.
¿Cómo llevan a cabo el ataque?
1. Infección inicial – Spear-Phishing
- Envían correos electrónicos personalizados y muy específicos, no masivos.
- Los archivos adjuntos vienen en formatos ZIP protegidos con contraseña para evadir los escaneos automáticos.
- Dentro, incluyen un loader personalizado que se ejecuta al abrir el archivo, instalando la primera puerta trasera.
2. Persistencia en el sistema
- El loader modifica claves de registro en Windows para asegurarse de ejecutarse cada vez que el equipo se reinicia.
- Esto permite que el malware permanezca activo durante semanas o meses sin ser detectado.
3. Comunicación encubierta (C2)
- En lugar de usar servidores de mando y control tradicionales, usan bots de Telegram.
- Esta técnica es muy inteligente porque el tráfico hacia Telegram es común y no levanta sospechas en la mayoría de los firewalls o sistemas de detección de intrusos (IDS).
- El malware se comunica con el bot para recibir órdenes y enviar la información robada.
4. Escaneo y explotación de vulnerabilidades
- Una vez dentro, los atacantes realizan un reconocimiento activo de la red usando herramientas como Fscan, Gobuster y Dirsearch.
- Identifican sistemas expuestos con CMS vulnerables, como:
- Drupal: CVE-2018-7600 y CVE-2018-7602.
- WordPress: WP-Automatic Plugin (CVE-2024-27956).
- Aprovechan estas brechas para moverse a otros servidores dentro de la misma organización.
5. Movimiento lateral y escalada
- Usan frameworks como Metasploit y Cobalt Strike para moverse de una máquina a otra.
- Despliegan web shells (ANTSWORD, Godzilla, Behinder, FinalShell) para mantener accesos adicionales.
- Implementan túneles internos con Resocks y Chisel, lo que les permite “saltar” entre segmentos de red aislados.
6. Robo de credenciales y datos sensibles
- Emplean scripts de PowerShell que recolectan archivos críticos, los comprimen en ZIP y los envían a sus servidores.
- Ejecutan un RAT en Python que roba credenciales de Google Chrome y extrae la clave maestra de descifrado.
- Toda la información robada se transmite por Telegram, disfrazada como tráfico legítimo.
Recomendaciones
- Filtros de correo avanzados: Implementa soluciones de sandboxing para adjuntos sospechosos y bloquea archivos ZIP protegidos con contraseña.
- Capacitación de usuarios: Educa a los empleados sobre cómo detectar spear-phishing y la importancia de no abrir adjuntos de remitentes no verificados.
- Soluciones de seguridad: Despliega soluciones EDR/XDR que puedan detectar loaders, web shells y RATs.
- Monitoreo del sistema: Supervisa los cambios sospechosos en el registro de Windows que puedan indicar la persistencia de malware.
