Porta del darrere de TinyNote

El grup d'estat-nació xinès anomenat Camaro Dragon s'ha associat una vegada més a la creació d'una nova porta del darrere que s'alinea amb els seus objectius de recollida d'intel·ligència. Aquesta porta del darrere, coneguda com TinyNote, es construeix amb el llenguatge de programació Go. Tot i que TinyNote pot no mostrar nivells avançats de sofisticació, ho compensa mitjançant l'ús d'una sèrie d'estratègies per garantir l'accés persistent als amfitrions compromesos.

TinyNote funciona com una càrrega útil de primera etapa, centrada principalment a realitzar l'enumeració bàsica de màquines i executar ordres mitjançant PowerShell o Goroutines. El programari maliciós utilitza diversos mètodes per mantenir un punt de peu al sistema compromès. Això inclou realitzar diverses tasques de persistència i utilitzar diferents tècniques per comunicar-se amb els seus servidors.

L'objectiu del Camaro Dragon sembla ser mantenir una presència resistent i persistent dins de l'amfitrió compromès, maximitzant la seva capacitat per recollir intel·ligència i, potencialment, executar més activitats malicioses. Val la pena assenyalar que l'activitat del Camaro Dragon es solapa amb les accions d'un actor d'amenaces rastrejat com Mustang Panda per la comunitat de ciberseguretat. També es creu que Mustang Panda és un grup de ciberdelinqüència de Xina patrocinat per l'estat, amb signes que indiquen que ha estat diligent des d'almenys el 2012.

La porta posterior de TinyNote s'utilitza per orientar les ambaixades del govern

La distribució de TinyNote Backdoor implica l'ús de noms de fitxer relacionats amb els afers exteriors, com ara "PDF_ Llista de contactes de membres diplomàtics convidats". La campanya d'atac mostra un enfocament deliberat a les ambaixades del sud-est i l'est asiàtic.

Un aspecte important d'aquest programari maliciós en particular és la seva capacitat per eludir la detecció per part de Smadav, una solució antivirus que s'utilitza habitualment a Indonèsia. Aquesta capacitat demostra la preparació exhaustiva i l'extens coneixement que posseeixen els atacants sobre l'entorn de les seves víctimes i la regió en el seu conjunt.

El desplegament del TinyNote Backdoor mostra la naturalesa específica de les operacions de Camaro Dragon i l'extensa investigació que duen a terme abans d'infiltrar-se en els sistemes de les víctimes previstes. En utilitzar simultàniament aquesta porta del darrere juntament amb altres eines amb diferents nivells de sofisticació tècnica, els actors de l'amenaça demostren els seus esforços actius per diversificar el seu arsenal d'atac.

Els cibercriminals continuen ampliant i evolucionant les seves tècniques i amenaçant l'arsenal

Aquestes troballes aporten llum sobre les tàctiques avançades emprades pel Camaro Dragon, destacant el seu enfocament estratègic i el seu compromís per adaptar les seves tècniques per maximitzar l'eficàcia i assolir els seus objectius. El desplegament de TinyNote Backdoor subratlla l'enfocament del grup en objectius específics i els seus esforços continus per mantenir-se al capdavant en el panorama en evolució de les amenaces cibernètiques.

Mustang Panda va cridar l'atenció amb el desenvolupament d'un implant de microprogramari personalitzat conegut com Horse Shell. Aquest implant s'adreça específicament als encaminadors TP-Link, transformant-los en una xarxa de malla que permet la transmissió d'ordres entre els servidors Command-and-Control (C2) i els dispositius infectats.

Essencialment, l'objectiu d'aquest implant és ofuscar les activitats nocives mitjançant la utilització d'encaminadors domèstics compromesos com a infraestructura intermèdia. En fer-ho, els atacants creen una xarxa que permet que les comunicacions amb ordinadors infectats semblin originar-se d'un node diferent, afegint una capa addicional de complexitat a les seves operacions.

Les troballes recents destaquen no només l'avenç i la sofisticació de les tàctiques d'evasió dels atacants, sinó també la naturalesa en constant evolució de les seves estratègies d'orientació. A més, els atacants utilitzen una àmplia gamma d'eines personalitzades adaptades per trencar les defenses de diferents objectius, posant l'accent en el seu compromís d'utilitzar un enfocament integral i adaptatiu.

Aquests desenvolupaments mostren la complexitat i les capacitats creixents dels grups cibercriminals a mesura que perfeccionen contínuament les seves tècniques i eines per evitar la detecció i comprometre una àmplia gamma d'objectius. L'ús de l'implant de microprogramari Horse Shell exemplifica el seu enginy a l'hora de reutilitzar la infraestructura existent amb finalitats amenaçadores, amplificant els reptes als quals s'enfronten els defensors per detectar i mitigar aquestes amenaces sofisticades.