Entidad gubernamental de Guyana golpeada por DinodasRAT

Una entidad gubernamental de Guyana ha sido atacada como parte de una campaña de ciberespionaje denominada Operación Jacana.

La actividad, que fue detectada por ESET en febrero de 2023, supuso un ataque de spear-phishing que llevó al despliegue de un implante hasta ahora indocumentado escrito en C++ llamado DinodasRAT.

La firma eslovaca de ciberseguridad dijo que podría vincular la intrusión a un actor o grupo de amenazas conocido, pero atribuyó con confianza media a un adversario del nexo con China debido al uso de PlugX (también conocido como Korplug), un troyano de acceso remoto común a los equipos de piratas informáticos chinos.

"Esta campaña fue dirigida, ya que los actores de amenazas elaboraron sus correos electrónicos específicamente para atraer a la organización víctima elegida", dijo ESET en un informe compartido con The Hacker News.

"Después de comprometer con éxito un conjunto inicial pero limitado de máquinas con DinodasRAT, los operadores procedieron a moverse hacia el interior y violar la red interna del objetivo, donde nuevamente desplegaron esta puerta trasera".

La secuencia de infección comenzó con un correo electrónico de phishing que contenía un enlace con trampas explosivas con líneas de asunto que hacían referencia a un supuesto informe de noticias sobre un fugitivo guyanés en Vietnam.

Si un destinatario hace clic en el enlace, se descarga un archivo ZIP del dominio No tienes permitido ver enlaces. Registrate o Entra a tu cuenta[.] vn, lo que indica un compromiso de un sitio web del gobierno vietnamita para alojar la carga útil.

Incrustado dentro del archivo ZIP hay un ejecutable que inicia el malware DinodasRAT para recopilar información confidencial de la computadora de la víctima.

DinodasRAT, además de cifrar la información que envía al servidor de comando y control (C2) mediante el algoritmo de cifrado diminuto (TEA), viene con capacidades para exfiltrar metadatos del sistema, archivos, manipular claves de registro de Windows y ejecutar comandos.

También se han desplegado herramientas para el movimiento lateral, Korplug y el cliente VPN SoftEther, el último de los cuales ha sido utilizado por otro clúster afiliado a China rastreado por Microsoft como Flax Typhoon.

"Los atacantes utilizaron una combinación de herramientas previamente desconocidas, como DinodasRAT, y puertas traseras más tradicionales como Korplug", dijo el investigador de ESET Fernando Tavella.

"Sobre la base de los correos electrónicos de spear-phishing utilizados para obtener acceso inicial a la red de la víctima, los operadores realizan un seguimiento de las actividades geopolíticas de sus víctimas para aumentar la probabilidad de éxito de su operación".

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta