Una nueva puerta trasera multiplataforma, denominada KTLVdoor y escrita en Golang, ha sido descubierta durante el monitoreo de las actividades del actor de amenazas de habla china Earth Lusca. Este malware altamente ofuscado cuenta con versiones para Windows y Linux, y se disfraza de utilidades del sistema para permitir a los atacantes tomar control de los sistemas infectados, manipular archivos y recopilar información.
Campaña y operación
La campaña involucra más de 50 servidores de comando y control (C&C) alojados en China, los cuales podrían estar siendo compartidos con otros actores de amenazas. KTLVdoor utiliza técnicas avanzadas de cifrado y ofuscación, incluida una configuración personalizada en un formato similar a TLV y el cifrado AES-GCM para las comunicaciones con los servidores de C&C.
Capacidades del malware
Entre las capacidades de KTLVdoor se incluyen:
- Operaciones con archivos: Manipulación y gestión de archivos en los sistemas comprometidos.
- Ejecución de comandos: Los atacantes pueden ejecutar comandos de manera remota.
- Escaneo de puertos: Utiliza técnicas avanzadas para mapear redes y buscar servicios vulnerables.
- Funcionalidad proxy: Permite a los atacantes redirigir tráfico a través de los sistemas comprometidos.
Técnicas avanzadas de ofuscación y evasión
Este malware se distingue por su alto nivel de ofuscación, lo que le permite evadir muchas de las herramientas tradicionales de detección. Además, utiliza un formato de configuración personalizado, similar a TLV, y técnicas de empaquetado de software para ocultar su actividad. KTLVdoor no solo se camufla como una utilidad legítima del sistema, sino que también emplea cifrado AES-GCM para proteger las comunicaciones entre los sistemas infectados y los servidores C&C.
Industrias y países afectados
El malware parece estar dirigido principalmente al sector financiero en China, aunque su naturaleza multiplataforma y su arquitectura avanzada sugieren que podría expandir su alcance a otros países y sectores. La infraestructura de amenaza está altamente distribuida, con más de 50 servidores C&C desplegados en la región.
Técnicas y tácticas MITRE ATT&CK
KTLVdoor emplea una serie de técnicas avanzadas de evasión y persistencia, incluyendo:
- T1033: Descubrimiento del propietario/usuario del sistema.
- T1082: Descubrimiento de la información del sistema.
- T1036: Suplantación (Masquerading).
- T1055: Inyección de procesos.
- T1070.006: Manipulación de marcas de tiempo (Timestomp).
- T1090: Uso de proxies.
- T1027: Archivos e información ofuscados.
- T1105: Transferencia de herramientas maliciosas.
Conclusión
La aparición de KTLVdoor resalta la creciente sofisticación de los actores de amenazas de habla china como Earth Lusca, que utilizan técnicas avanzadas de cifrado y ofuscación para comprometer sistemas tanto de Windows como de Linux. Las organizaciones deben estar preparadas para enfrentar este tipo de amenazas mediante el uso de soluciones de seguridad robustas y actualizadas, y estar atentos a las señales de compromiso (IOCs) relacionadas con KTLVdoor.