Un actor malicioso con probables vínculos con el notorio grupo norcoreano Kimsuky distribuye una nueva versión del malware de código abierto XenoRAT, que roba información, utilizando una compleja infraestructura de servidores de comando y control (C2), sistemas de preparación y máquinas de prueba.
La variante, que los investigadores de Cisco Talos apodaron MoonPeak después de descubrirla recientemente, está en desarrollo activo y ha estado evolucionando constantemente en pequeños incrementos durante los últimos meses, lo que dificulta la detección y la identificación.
MoonPeak: una variante de XenoRAT
«Aunque MoonPeak contiene la mayoría de las características del XenoRAT original, nuestro análisis observó cambios consistentes en todas las variantes», dijeron los investigadores de Cisco Talos Asheer Malhotra, Guilherme Venere y Vitor Venturs. dijo en una publicación de blog esta semana«Esto muestra que los actores de amenazas están modificando y evolucionando el código independientemente de la versión de código abierto», señalaron.
XenoRAT es malware de código abierto codificado en C# y disponible de forma gratuita en GitHub en octubre pasado. El troyano integra muchas funciones potentes, incluido el registro de teclas, funciones de omisión de control de acceso de usuarios (UAC) y una función oculta de cálculo de red virtual que permite a los actores de amenazas utilizar subrepticiamente un sistema comprometido al mismo tiempo que la víctima.
Cisco Talos observó lo que describió como un «ataque norcoreano patrocinado por el Estado». red de actores de amenazas» rastreado como UAT-5394, desplegando MoonPeak en ataques a principios de este año. Las tácticas, técnicas y procedimientos (TTP) y la infraestructura del atacante tienen una superposición considerable con el grupo Kimsuky. conocido desde hace mucho tiempo por sus actividades de espionaje dirigido a organizaciones de múltiples sectores, en particular la investigación y la política de armas nucleares.
Las superposiciones llevaron a Cisco Talos a especular que el grupo de actividad UAT-5394 observado era en realidad el propio Kimsuky u otra APT norcoreana que utilizaba la infraestructura de Kimsuky. En ausencia de pruebas contundentes, el proveedor de seguridad ha decidido, al menos por ahora, rastrear al UAT-5394 como un grupo independiente de amenazas persistentes avanzadas (APT) norcoreano.
Cambios constantes en MoonPeak
Según los investigadores de Cisco Talos, su análisis de MoonPeak mostró que los atacantes realizaron varios cambios en el código XenoRAT conservando muchas funciones esenciales. Entre los primeros cambios, el espacio de nombres del cliente se cambió de «cliente xeno rat» a «cmdline» para garantizar que otras variantes de XenoRAT no funcionaran cuando se conectaran a un servidor MoonPeak, dijo Cisco Talos.
«El cambio de espacio de nombres evita que los implantes maliciosos se conecten a su infraestructura y, además, evita que sus propios implantes se conecten a servidores XenoRAT C2 listos para usar», según la publicación del blog.
Parece que se han realizado otros cambios para ocultar el malware y dificultar el análisis. Entre ellos se encuentra el uso de un modelo informático llamado State Machines para ejecutar el malware de forma asíncrona, lo que hace que el flujo del programa sea menos lineal y, por tanto, más difícil de seguir. Por lo tanto, la tarea de aplicar ingeniería inversa al malware se vuelve más difícil y requiere más tiempo.
Además de los cambios en el malware en sí, Cisco Talos también observó que el actor de amenazas realizaba cambios continuos en su infraestructura. Uno de los más notables ocurrió a principios de junio, poco después de que investigadores de AhLabs informaran sobre una variante anterior de XenoRAT utilizada por UAT-5394. Esta divulgación llevó al actor de amenazas a dejar de usar servicios de nube pública para alojar sus cargas útiles y, en su lugar, trasladarlas a sistemas privados y controlados para C2, preparación y prueba de su malware.
Al menos dos de los servidores que Cisco Talos observó en UAT-5394 parecían estar asociados con otro malware. En un caso, el proveedor de seguridad observó que un servidor MoonPeak se conectaba a un servidor C2 conocido por Quasar RAT, una herramienta de malware asociada con el grupo Kimsuky.
«Un análisis de las muestras de MoonPeak revela una evolución del malware y sus correspondientes componentes C2 que llevaron a los actores de amenazas a implementar sus variantes de implantes varias veces en sus máquinas de prueba», dijeron los investigadores de Cisco Talos. El objetivo, agregaron, parece ser introducir cambios suficientes para dificultar la detección y la identificación y, al mismo tiempo, garantizar que variantes específicas de MoonPeak solo funcionen con servidores C2 específicos.
