Programari maliciós SNOWLIGHT
L'actor d'amenaces vinculat a la Xina UNC5174, també conegut com Uteus (o Uetus), ha llançat una nova campanya cibernètica que inclou una versió modificada del programari maliciós SNOWLIGHT i un nou troià d'accés remot (RAT) de codi obert anomenat VShell. Aquesta operació s'adreça als sistemes Linux i utilitza tècniques avançades per evitar la detecció i l'atribució.
Taula de continguts
Combinació: eines de codi obert com a portada
Els actors de l'amenaça confien cada cop més en eines de codi obert per reduir costos i emmascarar les seves activitats. En aquest cas, UNC5174 està utilitzant aquestes eines per semblar-se als pirates informàtics de baix nivell i no patrocinats per l'estat, cosa que dificulta que els defensors puguin rastrejar la campanya fins a un estat-nació. Aquesta tàctica ha permès que UNC5174 funcioni de manera discreta des de la seva darrera associació coneguda amb operacions vinculades al govern xinès fa més d'un any.
Un arsenal conegut: SNOWLIGHT i el seu paper
Anteriorment, UNC5174 va explotar vulnerabilitats a Connectwise ScreenConnect i al programari F5 BIG-IP per implementar SNOWLIGHT, un descarregador ELF basat en C. Aquesta eina es va utilitzar per recuperar GOHEAVY, una eina de túnel basada en Golang, de la infraestructura vinculada a SUPERSHELL, un marc C2 disponible públicament.
Expansió del conjunt d’eines: GOREVERSE i nous vectors d’atac
El conjunt d'eines del grup també inclou GOREVERSE, un shell invers de Golang que es comunica mitjançant Secure Shell (SSH). L'Agència Nacional Francesa per a la Seguretat dels Sistemes d'Informació (ANSSI) va observar recentment tàctiques similars utilitzades en atacs a les vulnerabilitats de l'Ivanti Cloud Service Appliance (CSA), com ara CVE-2024-8963, CVE-2024-9380 i CVE-2024-8190.
Amenaces multiplataforma: SNOWLIGHT i VShell Target macOS
Tant SNOWLIGHT com VShell són capaços d'infectar els sistemes macOS d'Apple. L'octubre de 2024, VShell es va disfressar com una aplicació d'autenticació de Cloudflare falsa, cosa que suggereix una infraestructura d'atac més àmplia i flexible. Aquesta capacitat multiplataforma augmenta l'amenaça global que suposa UNC5174.
Punts d’entrada no vists: cadena d’atac i desplegament de càrrega útil
En un atac observat el gener de 2025, SNOWLIGHT es va utilitzar com a comptagotes per lliurar VShell, un RAT a la memòria sense fitxers. El mètode d'accés inicial segueix sent desconegut, però un cop dins del sistema, s'utilitza un script maliciós (download_backd.sh) per desplegar dos binaris clau: dnsloger (SNOWLIGHT) i system_worker (Sliver). Aquestes eines ajuden a establir la persistència i a iniciar la comunicació amb un servidor C2.
Stealth i control: l’etapa final amb VShell
L'etapa final de la intrusió implica la descàrrega de VShell mitjançant una sol·licitud personalitzada al servidor C2. Com a troià d'accés remot, VShell ofereix als atacants la possibilitat d'executar ordres arbitràries i transferir fitxers. La seva naturalesa sense fitxers i l'ús de WebSockets per a comunicacions C2 el converteixen en una eina especialment furtiva i perillosa a l'arsenal de l'atacant.
Conclusió: una amenaça sofisticada i evasiva
UNC5174 continua suposant un risc important amb la seva combinació d'eines de codi obert, mètodes de lliurament sofisticats i càrregues útils sigilses com SNOWLIGHT i VShell. La seva capacitat de no detectar-se mentre s'aprofiten les eines públiques i s'exploten les vulnerabilitats multiplataforma subratlla la necessitat d'augmentar la vigilància i les estratègies defensives actualitzades.
