(https://i.imgur.com/yZjl2TN.jpeg)
Un grupo de amenazas persistentes avanzadas (APT) vinculado a China, conocido como TheWizards, ha sido identificado como el responsable del uso de una sofisticada herramienta de movimiento lateral en redes IPv6 llamada Spellbinder. Esta herramienta facilita ataques de adversario en el medio (AitM) mediante técnicas de suplantación SLAAC (autoconfiguración de direcciones sin estado) en entornos con soporte IPv6.
Spellbinder: Interceptación de tráfico y redirección de actualizaciones maliciosasDe acuerdo con un informe de Facundo Muñoz, investigador de ESET, Spellbinder permite la interceptación de paquetes de red y la redirección del tráfico de actualizaciones legítimas de software chino hacia servidores controlados por atacantes. Entre los casos detectados, la herramienta secuestra el proceso de actualización del popular software chino Sogou Pinyin para descargar y ejecutar malware en el sistema comprometido.
Una vez comprometido, el sistema descarga un archivo malicioso que actúa como instalador de una puerta trasera modular, denominada WizardNet, diseñada para recibir y ejecutar cargas útiles desarrolladas en .NET.
Abuso recurrente del mecanismo de actualización de Sogou PinyinEsta no es la primera vez que actores de amenazas chinos aprovechan el proceso de actualización de software de Sogou Pinyin. En enero de 2024, ESET reportó que otro grupo APT, conocido como Blackwood, utilizó un implante llamado NSPX30 mediante la misma técnica. Asimismo, el grupo PlushDaemon desplegó un descargador personalizado denominado LittleDaemon utilizando el mismo vector de ataque a principios de este año.
Objetivos y alcance geográfico del grupo TheWizardsTheWizards APT tiene como blanco a individuos y organizaciones en sectores como el juego online, ubicados en Camboya, Hong Kong, China continental, Filipinas y Emiratos Árabes Unidos. Evidencias técnicas indican que Spellbinder ha estado en uso desde al menos 2022, aunque el vector de acceso inicial aún no ha sido identificado.
En los ataques observados, los actores distribuyen un archivo comprimido ZIP con cuatro componentes clave: AVGApplicationFrameHost.exe, wsc.dll, log.dat y winpcap.exe. El malware instala WinPcap y ejecuta código en memoria para iniciar Spellbinder, que intercepta y manipula tráfico de red mediante RA ICMPv6.
DNS hijacking de actualizaciones en plataformas chinas popularesUno de los ataques más recientes en 2024 incluyó el secuestro del dominio de actualización de Tencent QQ (update.browser.qq[.]com), mediante spoofing DNS, redirigiendo a un servidor malicioso controlado por los atacantes (43.155.62[.]54). Desde allí, el sistema comprometido descarga la puerta trasera WizardNet.
Spellbinder emplea un analizador propio para inspeccionar las consultas DNS y cotejarlas con una lista interna de dominios objetivo, que incluye servicios ampliamente usados en China como Tencent, Baidu, Youku, iQIYI, Kingsoft, Xiaomi, PPLive, Meitu, Qihoo 360 y más.
Vinculación con DarkNights y el contratista chino Dianke Network SecurityAdemás de WizardNet, TheWizards utiliza otra herramienta de malware llamada DarkNights, también conocida como DarkNimbus, atribuida a otro grupo APT chino denominado Earth Minotaur. Aunque las actividades de ambos grupos presentan similitudes, los investigadores los consideran operadores independientes debido a diferencias en herramientas, infraestructura y objetivos.
Investigaciones posteriores han vinculado a Dianke Network Security Technology Co., Ltd. (también conocida como UPSEC) con el desarrollo de DarkNimbus, posicionando a este contratista del Ministerio de Seguridad Pública de China como un proveedor de software malicioso al servicio de operaciones de ciberespionaje.
Citar"Mientras TheWizards usa una puerta trasera diferente para Windows, el servidor de secuestro está configurado para distribuir DarkNights en dispositivos Android, lo que sugiere que Dianke Network Security actúa como proveedor digital del grupo APT TheWizards", concluyó Muñoz.
Fuente: https://thehackernews.com/