Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós Programari maliciós XDigo

Programari maliciós XDigo

El Mezo el Programari maliciós, Amenaça persistent avançada (APT)
Traduir a:

Investigadors de ciberseguretat han descobert una nova campanya de ciberespionatge que implica un lladre de programari basat en Go anomenat XDigo, que es va desplegar el març de 2025 contra organitzacions governamentals de l'Europa de l'Est. El programari maliciós està vinculat al grup d'actors d'amenaces persistents XDSpy, actiu a la regió des d'almenys el 2011.

El retorn de XDSpy: una dècada de vigilància

XDSpy és un grup de ciberespionatge ben documentat conegut per atacar agències governamentals de l'Europa de l'Est i els Balcans. Analitzat públicament per primera vegada el 2020, XDSpy ha mantingut un patró d'activitat constant, evolucionant el seu conjunt d'eines i l'abast dels seus atacs al llarg dels anys.

Campanyes recents atribuïdes al grup han afectat organitzacions a Rússia i Moldàvia, implementant famílies de programari maliciós com UTask, XDDown i DSDownloader, eines dissenyades per descarregar càrregues addicionals i extraure dades sensibles dels sistemes infectats.

Exploits de LNK: el perill ocult darrere de les dreceres de Windows

La campanya XDigo utilitza una cadena d'atac de diverses etapes que comença amb fitxers de dreceres de Windows (.LNK), explotant una vulnerabilitat d'execució remota de codi a Microsoft Windows registrada com a ZDI-CAN-25373, revelada públicament el març de 2025.

Aquesta vulnerabilitat sorgeix d'una manipulació inadequada de fitxers LNK especialment dissenyats, cosa que permet que el contingut maliciós romangui invisible a la interfície d'usuari però que tot i així executi codi en el context de l'usuari actual. Una inspecció més detallada va revelar un subconjunt de nou fitxers LNK d'aquest tipus, que explotaven una falla de confusió d'anàlisi causada per la implementació parcial de Microsoft de l'especificació MS-SHLLINK (v8.0).

Confusió d’anàlisi sintàctica: especificació vs. implementació

L'especificació MS-SHLLINK permet longituds de cadena de fins a 65.535 caràcters, però Windows 11 limita el contingut real a 259 caràcters, amb els arguments de la línia d'ordres com a excepció. Aquesta discrepància introdueix inconsistències en la manera com s'interpreten els fitxers LNK entre plataformes.

Els atacants aprofiten aquesta bretxa creant fitxers LNK que semblen vàlids o no vàlids segons l'analitzador sintàctic, cosa que permet:

  • Execució d'ordres inesperades o ocultes
  • Evitar la detecció tant de la interfície d'usuari de Windows com d'eines d'anàlisi de tercers

Combinant això amb tècniques de farciment d'espais en blanc, els adversaris oculten eficaçment la veritable intenció de la drecera, augmentant les possibilitats d'execució correcta sense alertar els usuaris ni les eines de seguretat.

Cadena d’infecció: arxius ZIP, esquers i càrrega lateral de DLL

Els nou fitxers LNK maliciosos identificats es van distribuir en arxius ZIP, cadascun dels quals contenia un altre arxiu ZIP que incloïa:

  • Un document PDF esquer
  • Un executable legítim canviat de nom
  • Una DLL maliciosa carregada lateralment pel binari

Aquesta DLL, anomenada ETDownloader, serveix com a càrrega útil de primera etapa dissenyada per descarregar l'implant principal: XDigo.

XDigo: Un lladre de dades refinat

XDigo és un implant de programari maliciós basat en Go que s'ha avaluat com una evolució d'UsrRunVGA.exe, documentat anteriorment a l'octubre de 2023. Està equipat per:

  • Recollir fitxers locals.
  • Captura el contingut del porta-retalls.
  • Fes captures de pantalla.
  • Executa ordres o binaris obtinguts d'un servidor remot mitjançant HTTP GET.
  • Exfiltrar dades robades mitjançant sol·licituds HTTP POST.

Aquesta funcionalitat confirma el paper de XDigo com a lladre d'espionatge dissenyat per a la recopilació furtiva d'informació.

Perfil de l’objectiu i coherència tàctica

Els investigadors han confirmat almenys un objectiu a la regió de Minsk, amb més indicis que apunten a operacions contra grups minoristes russos, institucions financeres, companyies d'assegurances i serveis postals governamentals. Aquesta victimització s'alinea estretament amb l'enfocament històric de XDSpy, especialment a l'Europa de l'Est i Bielorússia.

Tècniques d’evasió i sofisticació tàctica

XDSpy ha demostrat una forta capacitat per evadir les defenses modernes. Cal destacar que el seu programari maliciós va ser el primer a intentar evadir una solució específica de sandbox, cosa que reflecteix un alt grau de personalització i adaptabilitat en resposta a l'evolució dels entorns de seguretat.

Resum: Conclusions clau

La campanya XDigo mostra una sofisticada combinació de tècniques i estratègies de segmentació. Va implicar l'explotació d'una vulnerabilitat de Windows identificada com a ZDI-CAN-25373 mitjançant fitxers LNK especialment dissenyats, juntament amb la manipulació d'inconsistències d'anàlisi LNK per ocultar l'activitat maliciosa. Els atacants també es van basar en la càrrega lateral de DLL mitjançant executables legítims rebatejats per carregar components nocius. La comunicació amb la infraestructura de comandament i control i l'exfiltració de dades robades es van dur a terme mitjançant protocols HTTP estàndard, permetent l'amagat i l'evasió.

Pel que fa a la selecció d'objectius, la campanya es va centrar principalment en entitats governamentals, especialment a Bielorússia i Rússia. També va ampliar el seu abast als sectors financer i minorista, així com a grans companyies d'assegurances i serveis postals nacionals. Aquesta operació subratlla la innovació persistent dels actors d'amenaces alineats amb l'estat i reforça la necessitat crítica d'examinar fins i tot els tipus de fitxers aparentment inofensius, com ara els fitxers LNK, per detectar amenaces ocultes.

Tendència

Més vist

Carregant...