El grupo de ciberespionaje procoreano APT-C-60 aprovechó una vulnerabilidad de ejecución de código de día cero en la versión de Windows de WPS Office para instalar la puerta trasera SpyGlace en objetivos de Asia Oriental.
WPS Office es una suite de productividad desarrollada por la empresa china Kingsoft y muy popular en Asia. Tiene más de 500 millones de usuarios activos en todo el mundo.
La falla de día cero, identificada como CVE-2024-7262, ha sido explotada en ataques en general desde al menos finales de febrero de 2024, pero afecta a las versiones desde 12.2.0.13110 (agosto de 2023) a 12.1.0.16412 (marzo de 2024).
Kingsoft solucionó el problema «silenciosamente» en marzo de este año, sin informar a los clientes que la falla estaba siendo explotada activamente, lo que llevó a ESET, que descubrió la campaña y la vulnerabilidad, a publicar un informe detallado hoy.
Además de CVE-2024-7262, La investigación de ESET reveló una segunda falla grave, identificada como CVE-2024-7263, que Kingsoft solucionó a finales de mayo de 2024 con la versión 12.2.0.17119.
Funcionamiento del APT-C-60
CVE-2024-7262 radica en la forma en que el software maneja controladores de protocolos personalizados, en particular «ksoqing://», que permite la ejecución de aplicaciones externas a través de URL diseñadas en documentos.
Debido a una validación y desinfección inadecuadas de estas URL, la falla permite a los atacantes crear hipervínculos maliciosos que conducen a la ejecución de código arbitrario.
APT-C-60 creó documentos de hoja de cálculo (archivos MHTML) en los que incrustaron hipervínculos maliciosos ocultos debajo de una imagen señuelo para engañar a la víctima para que hiciera clic en ella, desencadenando así el exploit.
Los parámetros de URL procesados incluyen un comando codificado en base64 para ejecutar un complemento específico (promecefpluginhost.exe) que intenta cargar una DLL maliciosa (ksojscore.dll) que contiene el código del atacante.
Esta DLL es el componente de descarga de APT-C-60, diseñado para recuperar la carga útil final (TaskControler.dll) del servidor del atacante, una puerta trasera personalizada llamada «SpyGlace».
SpyGlace es una puerta trasera analizada previamente por Cuaderno de amenazas cuando APT-C-60 lo utilizó en ataques contra organizaciones relacionadas con recursos humanos y comercio.
Una mala racha deja un vacío
Mientras investigaban los ataques APT-C-60, los investigadores de ESET descubrieron CVE-2024-7263, una segunda falla de ejecución de código arbitrario que afectaba a WPS Office, que apareció como un parche incompleto para CVE-2024-7262.
Específicamente, el primer intento de Kingsoft de resolver el problema fue validar configuraciones específicas. Sin embargo, algunos de ellos, como «CefPluginPathU8», aún no eran lo suficientemente seguros, lo que permitía a los atacantes señalar rutas de DLL maliciosas nuevamente a través de promecefpluginhost.exe.
ESET explica que esta vulnerabilidad se puede explotar localmente o mediante un recurso compartido de red, donde se podría alojar la DLL maliciosa.
A pesar de esta posibilidad, los investigadores no han observado que APT-C-60 ni ningún otro actor aproveche el defecto en la naturaleza. Sin embargo, con el tiempo suficiente, no es improbable que hubieran descubierto el agujero de seguridad dejado por la mala racha de Kingsoft.
Se recomienda a los usuarios de WPS Office que actualicen a la última versión lo antes posible, o al menos a la 12.2.0.17119, para corregir ambas vulnerabilidades de ejecución de código.
«El exploit es inteligente porque es lo suficientemente engañoso como para engañar a cualquier usuario para que haga clic en una hoja de cálculo que parece legítima y, al mismo tiempo, es muy efectivo y confiable», advierte ESET en el informe.
“La elección del formato de archivo MHTML permitió a los atacantes transformar una vulnerabilidad de ejecución de código en una vulnerabilidad remota. »
Controlar este repositorio de GitHub para obtener una lista completa de indicadores de compromiso (IoC) asociados con la actividad de APT-C-60.