Entidades gubernamentales del sudeste asiático a las que apunta la puerta trasera de la victoria
Los especialistas en ciberseguridad han identificado una nueva campaña de espionaje por delitos cibernéticos, que apunta a entidades diplomáticas y gubernamentales en el sudeste asiático. Si bien aún no se ha identificado al autor del ataque, los expertos informan que es probable que se originen en China considerando el tipo de entidades a las que se dirigen, así como el hecho de que han estado utilizando el armador RoyalRoad para crear archivos RTF maliciosos. Además de estos dos hallazgos, los investigadores también señalan que se ha introducido una nueva familia de malware en esta campaña, Victory Backdoor.
Las víctimas fueron abordadas a través de correos electrónicos de phishing que llevaban el archivo adjunto RTF armado mencionado anteriormente. Lo sorprendente de Victory Backdoor es que parece haber estado en desarrollo durante mucho tiempo: las primeras versiones de la carga útil se compilaron hace más de tres años.
El propósito de Victory Backdoor es proporcionar a los operadores acceso persistente a la red comprometida, así como extraer datos de ella de manera silenciosa. Puede manipular archivos, capturar capturas de pantalla y recopilar varios detalles sobre la configuración de hardware y software del sistema comprometido. Los desarrolladores del malware parecen haber prestado especial atención a la seguridad de la comunicación entre el implante y el servidor de control; estas conexiones están muy encriptadas y ofuscadas.
Hasta ahora, no ha habido suficiente información para atribuir el desarrollo y uso de Victory Backdoor a un actor chino de Amenaza Persistente Avanzada (APT) en particular, pero los investigadores tienen una gran confianza en que los criminales están operando desde China.