Google ha revelado que un actor de amenazas patrocinado por el estado chino, el grupo de ciberdelincuentes APT41, se ha servido de un malware llamado TOUGHPROGRESS que usa Google Calendar para operaciones de comando y control (C2).
La firma de Mountain View descubrió la actividad maliciosa en octubre del año pasado, dando a conocer que el malware se encontraba alojado en un sitio web gubernamental comprometido, usándose para atacar a otras entidades oficiales.
El ataque se inicia con los atacantes enviando emails de phishing con enlaces a archivos ZIP que se alojan en estas páginas. Dichos archivos contienen un acceso directo (LNK) disfrazado de documento PDF y varias imágenes, algunas de las cuales están infectadas con malware. Al abrir el archivo LNK se inicia una cadena de infección en tres etapas.
Posteriormente, TOUGHPROGRESS crea eventos de calendario de duración cero en fechas específicas. Estos contienen datos cifrados en su descripción, que pueden ser comandos para el malware o información robada del sistema infectado.
El malware revisa el calendario periódicamente en busca de nuevos eventos con instrucciones. Por ejemplo, un evento programado para el “30 de mayo a las 15:00” podía llevar un mensaje secreto tipo: "roba estos archivos" o "haz una captura de pantalla".
Tras ejecutar los comandos es capaz de generar nuevos eventos para enviar los resultados a los atacantes. Además, lo hace sin levantar sospechas al usar una herramienta legítima como Google Calendar.
"El uso indebido de los servicios en la nube para C2 es una técnica que muchos actores de amenazas aprovechan para camuflarse con la actividad legítima", señala el investigador de el grupo de inteligencia de amenazas de Google (GTIG), Patrick Whitsell.
La empresa de la gran G ha desactivado las cuentas de Calendar utilizadas por los atacantes y ha mejorado sus sistemas de detección para prevenir futuros abusos similares. Además, ha alertado a las organizaciones potencialmente afectadas y ha compartido información técnica para ayudar en la protección contra este tipo de amenazas
Quiénes son los atacantes
APT41 es una banda que también responde a otros alias, como Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, Earth Baku, HOODOO, RedGolf, Red Kelpie, TA415, Wicked Panda y Winnti.
Estos ciberdelincuentes son conocidos por sus ataques a gobiernos y organizaciones dentro de sectores como la logística, los medios y el entretenimiento, la tecnología y la automoción.