Una campaña de ciberespionaje activa hasta finales de 2024 ha sido descubierta utilizando actualizaciones de software falsas y redirecciones de red sofisticadas para infectar a usuarios en Asia y Medio Oriente.
Investigadores de seguridad han revelado nuevos detalles sobre las operaciones de Evasive Panda (también conocido como Bronze Highland o Daggerfly), un grupo de Amenaza Persistente Avanzada (APT) vinculado a intereses de habla china, el grupo ha estado combinando técnicas de ataque “Adversary-in-the-Middle” (AiTM) con envenenamiento de DNS para desplegar su malware característico, MgBot.
El Método de Ataque: Confianza Rota
Lo que distingue a esta campaña, que ha estado activa desde noviembre de 2022 hasta noviembre de 2024, es la manera en que los atacantes abusan de la confianza de los usuarios en el software legítimo.
- El Disfraz: Los atacantes camuflan sus ejecutables maliciosos como actualizaciones oficiales para aplicaciones populares en las regiones objetivo, incluyendo Tencent QQ, iQIYI Video y el software de optimización IObit Smart Defrag.
- La Intercepción (AiTM y DNS): Cuando una víctima intenta descargar una actualización legítima, Evasive Panda manipula las respuestas DNS. Por ejemplo, una solicitud al dominio de actualización de Sohu (p2p.hd.sohu.com[.]cn) es redirigida silenciosamente a un servidor controlado por los atacantes.
- La Entrega: El usuario descarga lo que cree que es un paquete de actualización (ej. sohuva_update_10.2.29.1-lup-s-tp.exe), pero en realidad está instalando una puerta trasera en su sistema.
Innovación Técnica: Cifrado Híbrido
Los investigadores han destacado la complejidad técnica del malware utilizado. Para evitar la detección y dificultar el análisis forense, Evasive Panda implementa un proceso de infección de múltiples etapas con cifrado híbrido:
- Validación de Entorno: El malware utiliza la API de Protección de Datos de Microsoft (DPAPI) para cifrar sus cargas útiles. Esto asegura que el archivo malicioso solo pueda ser descifrado y ejecutado en la máquina específica de la víctima; si un analista intenta abrir el archivo en otro ordenador, el código no funcionará.
- Abuso de Dominios Legítimos: En algunos casos, si el malware no encuentra sus archivos de configuración, intenta descargar datos cifrados desde dominios aparentemente inocuos como dictionary[.]com, los cuales han sido comprometidos mediante envenenamiento de DNS para servir código malicioso dependiendo de la ubicación geográfica de la víctima.
- Persistencia: Finalmente, utilizan la técnica de “DLL Sideloading” (carga lateral de DLL) para inyectar el implante MgBot en procesos legítimos del sistema (como svchost.exe), garantizando que el malware sobreviva a reinicios y pase desapercibido.
Objetivos y Alcance
Las víctimas identificadas se encuentran principalmente en China, India y Turquía, lo que sugiere un interés continuo en la vigilancia geopolítica y el espionaje en estas regiones.
Recomendaciones
- Monitorización de DNS: Implementar soluciones de seguridad que detecten respuestas DNS anómalas o redirecciones inesperadas.
- Validación de Hash: Verificar siempre la firma digital y el hash de los archivos de actualización descargados, incluso si provienen de fuentes que parecen oficiales.
- Segmentación de Red: Limitar la capacidad de movimiento lateral dentro de la red corporativa para contener posibles infecciones.
