Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós FINALDRAFT Porta del darrere

FINALDRAFT Porta del darrere

El Mezo el Programari maliciós, Amenaça persistent avançada (APT), Portes del darrere
Traduir a:

L'actor maliciós comunament conegut com a Jewelbug ha intensificat el seu enfocament en les organitzacions governamentals europees des del juliol del 2025, tot mantenint operacions actives contra objectius al sud-est asiàtic i a Sud-amèrica. Els investigadors rastregen aquest grup d'activitat com a Ink Dragon, un grup també conegut a la comunitat de seguretat en general com a CL-STA-0049, Earth Alux i REF7707. Es considera que l'actor està alineat amb la Xina i ha demostrat una activitat sostinguda des d'almenys el març del 2023.

Identitats múltiples, un clúster coordinat

Les campanyes d'Ink Dragon reflecteixen una capacitat d'intrusió madura i disciplinada. Els seus operadors combinen fortes habilitats d'enginyeria de programari amb manuals operatius repetibles, sovint basant-se en utilitats de plataforma integrades per combinar activitat maliciosa amb telemetria empresarial legítima. Aquesta estratègia deliberada augmenta significativament la furtivitat i complica la detecció.

Abast, objectius i impacte continu

La campanya continua activa i ja ha afectat diverses desenes de víctimes. Les organitzacions afectades abasten agències governamentals i proveïdors de telecomunicacions d'Europa, Àsia i Àfrica. L'amplitud de les víctimes subratlla tant l'escalabilitat de la infraestructura de l'actor com el seu interès estratègic en xarxes d'alt valor.

Visibilitat primerenca i famílies clau de programari maliciós

La informació pública sobre Ink Dragon va sorgir el febrer del 2025, quan els investigadors van documentar el seu ús de la porta del darrere FINALDRAFT, també coneguda com a Squidoor. Aquest programari maliciós admet entorns Windows i Linux. Més recentment, el grup va ser vinculat a una intrusió prolongada de cinc mesos contra un proveïdor de serveis informàtics rus, cosa que va destacar la seva capacitat per mantenir un accés encobert a llarg termini.

Accés inicial i lliurament de càrrega útil

Ink Dragon normalment accedeix explotant aplicacions web vulnerables amb connexió a Internet. Aquestes debilitats s'abusen per desplegar shells web, que després serveixen com a punts de llançament per a eines addicionals com ara VARGEIT i Cobalt Strike. Aquestes càrregues útils permeten comunicacions de comandament i control, reconeixement intern, moviment lateral, evasió de defenses i robatori de dades.

Abús del núvol i dels serveis legítims

Entre les portes del darrere secundàries del grup hi ha NANOREMOTE, que aprofita l'API de Google Drive per intercanviar fitxers entre hosts infectats i infraestructura controlada per l'atacant. La selecció d'eines sembla deliberada i situacional, cosa que suggereix que els operadors adapten les implementacions a l'entorn de la víctima i prefereixen tècniques que s'assemblen a patrons de trànsit normals i de confiança.

Explotació de ViewState i segrest d’infraestructures C2

Una tècnica definidora del manual d'Ink Dragon consisteix a explotar claus de màquina ASP.NET febles o mal gestionades. Abusant dels defectes de deserialització ViewState als servidors IIS i SharePoint, l'actor instal·la un mòdul personalitzat ShadowPad IIS Listener. Això transforma els servidors compromesos en components actius de la xarxa de comandament i control de l'atacant, cosa que els permet fer de proxy al trànsit i les comandes i augmentar significativament la resiliència.

De la bretxa local a la xarxa de retransmissió global

Aquesta arquitectura permet que el trànsit no només es dirigeixi més profundament a una sola organització, sinó també a través de xarxes de víctimes completament separades. Com a resultat, un servidor compromès pot convertir-se silenciosament en un intermediari en una infraestructura més àmplia i multicapa. El mateix mòdul d'escolta admet l'execució remota d'ordres, donant als operadors control directe per al reconeixement i la preparació de la càrrega útil.

Tàctiques de postexplotació i escalada de privilegis

Més enllà de l'abús de ViewState, Ink Dragon ha utilitzat vulnerabilitats de ToolShell SharePoint com a arma per implementar web shells. Després del compromís inicial, l'actor sol dur a terme diverses accions per consolidar l'accés i escalar privilegis:

  • Aprofitant les claus de màquina IIS per obtenir credencials administratives locals i moure's lateralment a través de túnels RDP
  • Establir persistència mitjançant tasques programades i serveis maliciosos
  • Abocament de memòria LSASS i extracció de rutines de registre per elevar privilegis
  • Modificació de les regles del tallafocs de l'amfitrió per permetre el trànsit de sortida i convertir els sistemes en nodes de retransmissió ShadowPad

Reutilització avançada de credencials i compromís de domini

En almenys un cas observat, els atacants van identificar una sessió RDP desconnectada però activa pertanyent a un administrador de domini autenticat mitjançant l'autenticació a nivell de xarxa amb NTLMv2 fallback. Com que la sessió va romandre tancada però no finalitzada, el material de credencials sensible va persistir a la memòria LSASS. Després d'obtenir accés a nivell de SISTEMA, Ink Dragon va extreure el testimoni i el va reutilitzar per dur a terme operacions SMB autenticades, escriure en recursos compartits administratius i exfiltrar NTDS.dit i hives de registre.

Un ecosistema de persistència modular

En lloc de confiar en una única porta del darrere, Ink Dragon utilitza un conjunt de components especialitzats per mantenir l'accés a llarg termini. Les eines observades inclouen:

  • Carregador de ShadowPad per desxifrar i executar el mòdul principal de ShadowPad a la memòria.
  • CDBLoader, que abusa del depurador de consola de Microsoft per executar codi shell i carregar càrregues útils xifrades.
  • LalsDumper per extreure memòria LSASS
  • 032Loader per desxifrar i executar càrregues útils addicionals
  • FINALDRAFT, una eina d'administració remota modernitzada que abusa d'Outlook i Microsoft Graph per al comandament i control

Evolució de FINALDRAFT

El grup ha desplegat recentment una nova variant de FINALDRAFT dissenyada per a una major discreció i una exfiltració de dades més ràpida. Introdueix mètodes d'evasió avançats, admet el lliurament de càrrega útil en diverses etapes i permet el moviment lateral encobert. Les ordres es lliuren com a documents codificats que es col·loquen a la bústia de la víctima, que l'implant recupera, desxifra i executa a través d'un marc de comandaments modular.

Superposició amb altres actors d’amenaces

Els investigadors també han identificat rastres d'un altre grup alineat amb la Xina, REF3927, també conegut com a RudePanda, en diversos entorns compromesos per Ink Dragon. No hi ha proves de coordinació entre els dos, i es creu que la superposició prové del fet que ambdós actors exploten vectors d'accés inicials similars en lloc de compartir infraestructura o operacions.

Un nou model d’amenaces per a defensors

Ink Dragon desdibuixa la línia tradicional entre els hosts infectats i la infraestructura de comandament. Cada sistema compromès es converteix en un node funcional en una malla controlada per l'atacant que s'expandeix amb cada nova víctima. Per als defensors, això significa que la contenció no es pot centrar únicament en sistemes individuals. Una interrupció eficaç requereix identificar i desmantellar tota la cadena de retransmissió. L'ús centrat en els retransmissions de ShadowPad per part d'Ink Dragon representa una de les implementacions més madures observades fins ara, convertint eficaçment les xarxes de víctimes en la columna vertebral de campanyes d'espionatge a llarg termini i multiorganitzades.

Tendència

Més vist

Carregant...