Investigadores han identificado una nueva familia de malware llamada Airstalk que explota la API legítima de la plataforma MDM AirWatch / VMware Workspace ONE UEM para crear un canal de comando y control (dead-drop). Esto permite a los atacantes ocultar tráfico malicioso dentro de llamadas API normales de gestión de dispositivos, dificultando la detección por controles de red tradicionales.
Airstalk: Abuso de APIs MDM para C2 Encubierto
Airstalk aprovecha una infraestructura empresarial de confianza (MDM) para camuflar sus operaciones, eludiendo controles de reputación y listas negras.
Mecanismo Técnico (Dead-Drop en la Nube)
- Canal de Comunicación: Airstalk (en variantes PowerShell y .NET) utiliza la propia plataforma MDM como servidor de Comando y Control (C2). En lugar de conectarse a un dominio malicioso, el malware se comunica con la API de Workspace ONE.
- Intercambio de órdenes: El malware lee comandos codificados en campos legítimos de atributos del dispositivo, como SERIALIZED_MESSAGEo CLIENT_UUIDa través de endpoints como /api/mdm/devices/.
- Exfiltración Camuflada: La exfiltración de datos robados (credenciales, capturas de pantalla) se realiza mediante la subida de archivos o blobs a endpoints legítimos de la API, como /api/mam/blobs/uploadblob.
- Abuso de Confianza: Al usar un servicio MDM empresarial —que tiene permisos y visibilidad en la red— el malware “mezcla” sus operaciones con telemetría legítima.
Peligro Estratégico
- Evasión de Controles de Red: El tráfico malicioso viaja hacia un dominio MDM legítimo y de confianza de la propia organización. Los firewalls que solo bloquean dominios maliciosos conocidos (basados en reputación) fallan.
- Vector de Alto Valor: La campaña está dirigida. El uso de la API MDM (que gestiona endpoints) sugiere que el objetivo es obtener control sobre la gestión de dispositivos y la cadena de suministro (BPOs, MSPs).
- Amenaza a Endpoints Fijos: Aunque MDM gestiona móviles, las API suelen ser accesibles para agentes en estaciones de trabajo Windows/macOS. Estos equipos también pueden convertirse en clientes del canal encubierto.
Recomendaciones
- Contención y Respuesta
- Rotación de Credenciales: Auditar y rotar inmediatamente las credenciales de las cuentas de API MDM y cuentas de servicio utilizadas por Workspace ONE (revocar tokens sospechosos).
- Monitoreo de Acceso: Revisar registros del MDM por accesos y cambios fuera de horario. Si se confirma la exfiltración vía blobs, desconectar y aislar los hosts afectados.
- Detección y Endurecimiento
- Reglas SIEM/EDR: Implementar reglas SIEM/EDR para:
- Detectar llamadas a /api/mdm/devices/con cargas útiles Base64 o patrones codificados en los campos de atributos.
- Detectar subida de blobs desde endpoints de escritorio (hosts que no son móviles).
- Alertar por uso de CLIENT_UUIDso mensajes que no concuerdan con la telemetría normal de gestión.
- Segmentación estricta: Aplicar segmentación de red estricta: limitar qué hosts pueden comunicarse con la API de MDM (permitir solo gateways y agentes MDM oficiales).
- Principio de Mínimo Privilegio: Revisar y restringir los permisos de las cuentas MDM, limitando la capacidad de crear/editar atributos de dispositivos a un número mínimo de operadores.
- Medidas Estratégicas
- Validación de API: VMware y los operadores MDM deben soportar los endpoints de API: aplicar rate limiting, firmas de payload y validación estricta de campos (CLIENT_UUID, SERIALIZED_MESSAGE) para evitar que sirvan como dead-drop.
- Auditoría de Suministro: Realizar una auditoría de terceros (BPO, MSP) que administran el MDM, y exigen controles de seguridad contractuales.
- Separación de Telemetría: Revisar políticas de telemetría de MDM para separar datos de gestión legítima de “mensajería” que pueda usarse como canal de datos arbitrario.
