Check Point Research (CPR), la división de Inteligencia de Amenazas del grupo de ciberseguridad, ha identificado y bloqueado una operación de vigilancia activa dirigida contra un gobierno del sudeste asiático. Los ciberdelincuentes, que Check Point Research relaciona con un grupo organizado chino, enviaron sistemáticamente documentos manipulados a varios miembros del Ministerio de Asuntos Exteriores del mismo. haciéndose pasar por otras entidades del mismo Gobierno.

Los investigadores sospechan que el objetivo de la operación es el espionaje mediante la instalación de una puerta trasera, en el software de Windows, hasta ahora desconocida y que ha estado en desarrollo al menos tres años. Una vez instalado el backdoor es posible recopilar toda la información deseada, así como realizar capturas de pantalla y ejecutar malware adicional.

La campaña comenzó con el envío de documentos maliciosos (.docx) a diferentes empleados de una entidad gubernamental del sudeste asiático. Estos correos electrónicos fueron falsificados para que otras entidades públicas apareciesen como remitentes. Los archivos adjuntos de estos emails eran copias manipuladas de escritos oficiales de aspecto legítimo y utilizaban plantillas en remoto para incrustar código malicioso. Esta técnica aprovecha una característica de Microsoft que permite extraer una plantilla desde un servidor remoto cada vez que el usuario abre el mismo.

 Así funciona la cadena de infección

1. La víctima recibe un correo electrónico con un documento adjunto, supuestamente enviado por algún ministerio o comisión de otro gobierno.
2. Al abrirlo, la víctima ejecuta una cadena de acciones que acaba por activar una puerta trasera.
3. El backdoor recaba toda la información que los ciberdelincuentes desean, incluida la lista de archivos y programas activos en el PC, lo que les permite el acceso remoto.

En la etapa final de la cadena de infección, el programa malicioso debe descargar, descifrar y cargar un archivo DLL (Dynamic Link Library) en la memoria.

Una puerta trasera es un tipo de malware que se salta los procedimientos normales de autenticación para acceder a un sistema. Como resultado, se concede acceso remoto a los recursos dentro del dispositivo o la red infectada, dando a los ciberdelincuentes la capacidad de acceder al sistema directamente a través de dicha backdoor. Las capacidades de este malware incluyen la capacidad de:

• Eliminar/crear/renombrar/leer/escribir archivos y obtener los atributos de los archivos
• Conseguir información de procesos y servicios
• Realizar capturas de pantalla
• Lectura/Escritura de archivos – ejecutar comandos a través de cmd.exe
• Crear/terminar procesos
• Adquirir tablas TCP/UDP
• Robar datos de las unidades de CDROM
• Obtener información de las claves del registro
• Ver los títulos de todas las ventanas principales
• Obtener información del equipo de la víctima: nombre del equipo, usuario, dirección de la Gateway, versión de Windows y tipo de usuario
• Apagar el PC

Check Point Research atribuye, con una confianza media-alta, la operación de vigilancia en curso a un grupo de amenazas chino, basándose en los siguientes elementos e indicadores:

• Los servidores de comando y control (C&C) estuvieron comunicados sólo entre las 01:00 y las 08:00 UTC, que se cree que son las horas de trabajo en el país de los ciberdelincuentes, por lo que el rango de posibles orígenes de este ataque es limitado.
• Los servidores de C&C no devolvieron ninguna carga útil (ni siquiera en horario laboral), concretamente durante el periodo comprendido entre el 1 y el 5 de mayo, días festivos del Día del Trabajo en China.
• Algunas versiones de prueba del backdoor contenían la prueba de la conectividad a Internet con www.baidu.com – un sitio web líder en China.
• El kit de exploits RoyalRoad RTF, utilizado para convertir los documentos en armas en el ataque, está asociado principalmente con grupos APT chinos.
• Algunas versiones de prueba del backdoor de 2018 se subieron a VirusTotal desde China

Todos los indicios apuntan a que se trata de una operación extremadamente organizada cada pocas semanas, los ciberdelincuentes utilizaban emails de spear-phishing, con versiones manipuladas de documentos gubernamentales, para intentar entrar en el Ministerio de Asuntos Exteriores del país objetivo. Los atacantes tuvieron que asaltar primero un departamento dentro del Estado objetivo, robando y armando escritos para utilizarlos contra el citado Ministerio.

En última instancia, es importante destacar que la investigación de Check Point Research condujo al descubrimiento de un nuevo backdoor de Windows, en otras palabras, un arma de ciberespionaje que el grupo de amenazas chino ha estado desarrollando desde 2017. Esta puerta trasera se formó y readaptó una y otra vez durante tres años, antes de utilizarse. Gracias a ello, es mucho más intrusiva y capaz de recopilar una gran cantidad de datos de un ordenador infectado. Asimismo, los investigadores se enteraron de que este grupo no sólo se interesa por los datos, sino también por lo que ocurre en el equipo personal del objetivo en cada momento, lo que da lugar a un espionaje en tiempo real. Aunque se pudo bloquear la operación de vigilancia del gobierno del sudeste asiático descrita, es posible que actualmente estos ciberdelincuentes estén utilizando su nueva arma de ciberespionaje en otros blancos del mundo.