Investigadores de seguridad de ESET han revelado que un actor de amenazas de estado nación vinculado a Irán implementa un malware de puerta trasera previamente desconocido y llamado Sponsor.
Estos ataques están siendo impulsados por un grupo de amenazas persistentes avanzadas (APT) conocido con distintos nombres, como Charming Kitten, Phosphorus, TA453 o APT35/42.
Sponsor destaca por ocultar sus archivos de configuración en el disco de la víctima para que puedan ser implementados discretamente mediante secuencias de comandos por lotes maliciosos, eludiendo con éxito la detención.
El mencionado malware se ha dirigido contra empresas de todo el mundo, contabilizando 34 organizaciones que han sido víctimas.
Entre ellas hay compañías y empresas gubernamentales y de atención médica dedicadas a servicios financieros, ingeniería, manufactura, tecnología, derecho, telecomunicaciones y otros sectores.
La campaña se llevó a cabo entre marzo de 2021 y junio del año pasado, según indica ESET. Los países objetivo principal de los cibermalos son Israel, Brasil y Emiratos Árabes Unidos.
Cómo operan
Charming Kitten se aprovechaba de una vulnerabilidad de ejecución de código remoto en Microsoft Exchange (CVE-2021-26855) con el fin de obtener acceso inicial a las redes de sus objetivos.
Los actores de amenazas usaron varias herramientas de código abierto que facilitaban la filtración de datos, la supervisión del sistema y la infiltración en la red, ayudándoles también a mantener el acceso a los equipos comprometidos.
Según detalla Bleeping Computer, antes de implementar la puerta trasera de Sponsor colocaban archivos por lotes en rutas de archivos específicas en la máquina host, que escribe los archivos de configuración necesarios. Estos archivos se denominan config.txt, node.txt y error.txt para combinarse con los archivos normales y así evitar levantar sospechas.
ESET también habla de una segunda versión de Sponsor, que presenta optimizaciones de código y una capa de disfraz que lo hace parecer una herramienta de actualización.