APT chino desconocido apunta a Rusia con el malware PortDoor
Los actores de Advanced Persistent Threat (APT) continúan con sus ataques contra objetivos de alto perfil. Esta vez, los titulares de las noticias mencionan un nuevo malware identificado como PortDoor. Se cree que fue utilizado y desarrollado por un actor de APT con sede en China y, hasta ahora, se ha utilizado en ataques contra varios sectores rusos, el más notable de los cuales es el sector de defensa. Uno de los objetivos fue Rubin Design Bureau: se contactó con empleados de alto rango a través de correos electrónicos de phishing que contenían un documento RTF creado con fines malintencionados. Al igual que otros actores de amenazas con sede en China, estos también dependen de la utilidad de construcción RoyalRoad RTF.
Las características del PortDoor Malware no son muy espectaculares, pero este malware brilla con otras cosas: parece que sus desarrolladores han enfatizado un diseño sigiloso, que permite que la amenaza intente ocultar su presencia y actividad. La amenaza puede identificar entornos virtuales populares y detener su ejecución, lo que dificulta la disección del malware.
PortDoor Malware se centra en el espionaje. Sus operadores tienen acceso a las siguientes funciones:
- Enumere todos los procesos en ejecución.
- Administra el sistema de archivos.
- Leer la información de la partición del disco.
- Busque archivos.
- Busque, cifre y extraiga datos.
Hasta ahora, el ataque de PortDoor Malware contra el sector de defensa ruso no se ha atribuido a una APT china en particular. Sin embargo, los expertos señalan que las propiedades y la infraestructura de red de PortDoor Malware sugieren que los actores de amenazas de alto perfil como TA428 o Rancor podrían estar asociados con el ataque.