La 'pulga' china de APT apunta a instituciones de EE. UU. con malware de puerta trasera
Los investigadores descubrieron que un actor patrocinado por el estado chino llamado Flea llevó a cabo una campaña dirigida contra los ministerios de relaciones exteriores en las Américas entre fines de 2022 y principios de 2023. Según los investigadores, los ataques cibernéticos involucraron el uso de una nueva puerta trasera llamada Graphican. Además de los ministerios, la campaña se centró en un departamento de finanzas del gobierno, una corporación que opera en las Américas y una víctima no especificada en Europa.
El informe de los investigadores destacó el extenso arsenal de herramientas empleadas por Flea, describiendo al actor de amenazas como bien financiado y formidable. Junto con la puerta trasera de Graphican, los atacantes utilizaron varias herramientas de "vivir de la tierra" y herramientas previamente asociadas con Flea.
Flea, también conocido como APT15, BackdoorDiplomacy, ke3chang, Nylon Typhoon (anteriormente Nickel), Playful Taurus, Royal APT y Vixen Panda, es un grupo de amenaza persistente avanzado que ha estado apuntando a gobiernos, misiones diplomáticas y embajadas desde al menos 2004.
A principios de este año, se atribuyó al grupo a una serie de ataques contra entidades del gobierno iraní entre julio y diciembre de 2022. El mes pasado, se reveló que el gobierno de Kenia había sido el foco de una operación de recopilación de inteligencia de tres años dirigida a ministerios clave y instituciones del Estado.
Flea también se ha relacionado con múltiples campañas de vigilancia de Android, incluidas SilkBean y BadBazaar, que se dirigieron a los uigures en China y en el extranjero.
Graphican Malware es una actualización de Ketrican existente
Graphican, la nueva puerta trasera utilizada por Flea, se considera una evolución de una puerta trasera anterior llamada Ketrican. Combina características de Ketrican y otro implante llamado Okrum para crear un nuevo malware llamado Ketrum. Graphican se destaca de Ketrican al utilizar Microsoft Graph API y OneDrive para recuperar los detalles del servidor de comando y control (C&C).
A diferencia de Ketrican, Graphican no tiene una dirección de servidor C&C codificada. En su lugar, se conecta a OneDrive a través de la API de Microsoft Graph para obtener la dirección del servidor C&C cifrado de una carpeta específica. Cabe señalar que el abuso de Microsoft Graph API y OneDrive se ha observado en el pasado con actores de amenazas rusos y chinos como APT28 y Bad Magic.
Graphican tiene la capacidad de comunicarse con el servidor C&C, recibir comandos, crear una línea de comandos interactiva, descargar archivos y establecer procesos encubiertos para la extracción de datos.
Otra herramienta notable utilizada en la campaña es una versión actualizada de la puerta trasera EWSTEW, que permite la extracción de correos electrónicos enviados y recibidos desde servidores de Microsoft Exchange comprometidos.