CurKeep Backdoor apunta a comunicaciones y entidades oficiales en Asia

Una operación recientemente descubierta conocida como "Stayin Alive" se ha dirigido activamente a organismos gubernamentales y proveedores de servicios de telecomunicaciones en Asia desde 2021. Esta campaña emplea una amplia gama de malware para evitar la detección.

La mayoría de los objetivos de la campaña, según la empresa de ciberseguridad Check Point, se concentran en países como Kazajstán, Uzbekistán, Pakistán y Vietnam. La campaña aún está en curso.

Los ataques parecen provenir del grupo de espionaje chino 'ToddyCat', que se basa en mensajes de phishing que contienen archivos adjuntos dañinos para cargar varios cargadores de malware y puertas traseras. Los investigadores aclaran que los actores de amenazas emplean múltiples herramientas personalizadas que creen que están diseñadas para uso temporal, diseñadas para eludir la detección y evitar conexiones entre diferentes ataques.

Cadena de infección de puerta trasera CurKeep

El ataque comienza con un correo electrónico de phishing meticulosamente diseñado para dirigirse a personas específicas dentro de organizaciones críticas, incitándolos a abrir un archivo ZIP adjunto. El archivo contiene un archivo ejecutable con una firma digital destinada a coincidir con el contexto del correo electrónico, junto con una DLL maliciosa que aprovecha una vulnerabilidad (CVE-2022-23748) en el software Dante Discovery de Audinate. Esta DLL facilita la carga del malware "CurKeep" en el sistema.

CurKeep es una puerta trasera con un tamaño diminuto de sólo 10 kilobytes que establece persistencia en el dispositivo comprometido, transmite información del sistema al servidor de comando y control (C2) y permanece listo para recibir comandos. Esta puerta trasera es capaz de extraer una lista de directorios de los archivos de programa de la víctima, revelar el software instalado en la computadora, ejecutar comandos y transmitir los resultados al servidor C2 y manejar tareas basadas en archivos de acuerdo con las instrucciones de los operadores.

CurKeep se utiliza junto con otras herramientas maliciosas

Además de CurKeep, la campaña utiliza otras herramientas, principalmente cargadores, que se activan principalmente mediante métodos similares de carga lateral de DLL. Entre ellos se destacan el cargador CurLu, CurCore y CurLog, cada uno con funciones y métodos de infección distintos.

Check Point señala que "Stayin' Alive" implementa varias muestras y versiones de estos cargadores y cargas útiles, a menudo adaptadas a objetivos regionales específicos, incluidos idiomas, nombres de archivos y temas.

La compañía de seguridad sugiere que el clúster recién descubierto probablemente sea parte de una campaña más extensa que involucra herramientas y estrategias de ataque adicionales no reveladas. Dada la amplia gama de distintas herramientas empleadas en los ataques y su alto nivel de personalización, parece que están destinadas a ser utilizadas por un tiempo limitado.