Decoy Dog Malware: una actualización de Pupy RAT

Recientemente, los investigadores de seguridad cibernética realizaron una investigación exhaustiva sobre un malware recientemente descubierto llamado Decoy Dog y descubrieron que representa una mejora significativa con respecto a Pupy RAT, un troyano de acceso remoto de código abierto que sirvió como base.

Según un informe publicado por Infoblox, Decoy Dog cuenta con una gama de capacidades poderosas y previamente desconocidas. En particular, posee la capacidad de transferir víctimas a un controlador alternativo, lo que permite la comunicación continua con las máquinas comprometidas y facilita largos períodos de ocultación. Sorprendentemente, ciertas víctimas han mantenido una comunicación activa con un servidor de Decoy Dog durante más de un año.

Perro señuelo actualizado con nuevas capacidades

Entre sus características recientemente añadidas, Decoy Dog puede ejecutar código Java arbitrario en el cliente y establecer conexiones con controladores de emergencia mediante un mecanismo que recuerda al algoritmo de generación de dominio DNS (DGA) tradicional. Este mecanismo garantiza que los dominios de Decoy Dog puedan responder de manera efectiva a las consultas de DNS reproducidas de clientes violados.

La Dra. Renée Burton, jefa de inteligencia de amenazas de Infoblox, enfatizó que Decoy Dog ofrece funcionalidades que no estaban presentes en Pupy. De particular interés es un comando que ordena al dispositivo comprometido que cese la comunicación con el controlador actual y, en su lugar, se conecte con uno diferente. Este descubrimiento fue posible gracias al análisis estadístico de las consultas de DNS.

El descubrimiento del malware se remonta a principios de abril de 2023, cuando Infoblox detectó una actividad inusual de señalización de DNS, lo que descubrió sus ataques dirigidos contra las redes empresariales. Los orígenes exactos de Decoy Dog siguen siendo un misterio, pero se sospecha que es obra de un grupo selecto de piratas informáticos del estado-nación. A pesar de usar tácticas distintas, estos actores de amenazas responden a las solicitudes entrantes que coinciden con la estructura de comunicación de los clientes.

Decoy Dog funciona explotando el sistema de nombres de dominio (DNS) para llevar a cabo sus operaciones de comando y control (C2). Los puntos finales comprometidos se comunican con un controlador (o servidor) a través de consultas DNS y respuestas de direcciones IP, recibiendo instrucciones en el proceso.

En respuesta a divulgaciones anteriores, los actores de amenazas han adaptado rápidamente su infraestructura de ataque. Han eliminado ciertos servidores de nombres DNS y registrado nuevos dominios de reemplazo para garantizar la persistencia remota.

El despliegue inicial de Decoy Dog data de 2022

La primera instancia conocida del despliegue de Decoy Dog se remonta a fines de marzo o principios de abril de 2022, seguida de la detección de otros tres grupos bajo el control de diferentes controladores. Hasta el momento, se han identificado un total de 21 dominios de Decoy Dog.

Además de la intriga, un conjunto de controladores registrados desde abril de 2023 ha incorporado geofencing como una técnica para limitar las respuestas a las direcciones IP de los clientes desde ubicaciones específicas. En particular, la actividad observada se ha restringido a Rusia y Europa del Este.