Stealth Soldier: Nueva puerta trasera personalizada apunta al norte de África

Una nueva puerta trasera personalizada llamada Stealth Soldier se ha desplegado como parte de un conjunto de ataques de espionaje altamente dirigidos en el norte de África.

"El malware Stealth Soldier es una puerta trasera indocumentada que opera principalmente funciones de vigilancia como la exfiltración de archivos, la grabación de pantalla y micrófono, el registro de pulsaciones de teclas y el robo de información del navegador", dijo la compañía de ciberseguridad Check Point en un informe técnico.

La operación en curso se caracteriza por el uso de servidores de comando y control (C&C) que imitan sitios pertenecientes al Ministerio de Relaciones Exteriores de Libia. Los primeros artefactos asociados con la campaña se remontan a octubre de 2022.

Los ataques comienzan con objetivos potenciales que descargan binarios de descarga falsos que se entregan a través de ataques de ingeniería social y actúan como un conducto para recuperar Stealth Soldier, mientras que simultáneamente muestran un archivo PDF vacío de señuelo.

El implante modular personalizado, que se cree que se usa con moderación, permite capacidades de vigilancia mediante la recopilación de listas de directorios y credenciales del navegador, el registro de pulsaciones de teclas, la grabación de audio del micrófono, la toma de capturas de pantalla, la carga de archivos y la ejecución de comandos de PowerShell.


"El malware utiliza diferentes tipos de comandos: algunos son complementos que se descargan del C&C y otros son módulos dentro del malware", dijo Check Point, y agregó que el descubrimiento de tres versiones de Stealth Soldier indica que está siendo mantenido activamente por sus operadores.

Algunos de los componentes ya no están disponibles para su recuperación, pero se dice que los complementos de captura de pantalla y robo de credenciales del navegador se inspiraron en proyectos de código abierto disponibles en GitHub.

Además, las exhibiciones de infraestructura de Stealth Soldier se superponen con la infraestructura asociada con otra campaña de phishing llamada Eye on the Nile, que se dirigió a periodistas egipcios y activistas de derechos humanos en 2019.

El desarrollo señala la "primera posible reaparición de este actor de amenazas" desde entonces, lo que sugiere que el grupo está orientado a la vigilancia contra objetivos egipcios y libios.

"Dada la modularidad del malware y el uso de múltiples etapas de infección, es probable que los atacantes continúen evolucionando sus tácticas y técnicas y desplieguen nuevas versiones de este malware en un futuro próximo", dijo Check Point.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta