Malware Stealth Soldier utilizado en ciberespionaje
En el norte de África, se han llevado a cabo una serie de ataques de espionaje muy específicos utilizando una puerta trasera recientemente desarrollada llamada Stealth Soldier.
La empresa de ciberseguridad Check Point, en un informe técnico, describió Stealth Soldier como una puerta trasera personalizada que opera principalmente con fines de vigilancia. Sus funciones incluyen extraer archivos, grabar actividades de pantalla y micrófono, registrar pulsaciones de teclas y robar información del navegador.
La operación en curso implica el uso de servidores de comando y control que imitan sitios web pertenecientes al Ministerio de Relaciones Exteriores de Libia. Los primeros signos de esta campaña se remontan a octubre de 2022.
Los ataques comienzan con objetivos potenciales que descargan binarios de descarga falsos a través de tácticas de ingeniería social. Estas cargas útiles intermedias sirven como un canal para obtener Stealth Soldier mientras se muestra simultáneamente un archivo PDF de señuelo.
Se cree que Stealth Soldier, un implante modular personalizado, se usa con moderación. Potencia las capacidades de vigilancia al recopilar listas de directorios y credenciales del navegador, capturar pulsaciones de teclas, grabar audio desde el micrófono, tomar capturas de pantalla, cargar archivos y ejecutar comandos de PowerShell. Check Point reveló que el malware emplea diferentes tipos de comandos, incluidos complementos descargados del servidor de comando y control y módulos internos.
Stealth Soldier todavía actualizado activamente
El descubrimiento de tres versiones de Stealth Soldier sugiere que los operadores lo mantienen y actualizan activamente.
Si bien ya no se puede acceder a algunos componentes del malware, se dice que los complementos de captura de pantalla y robo de credenciales del navegador se inspiraron en proyectos de código abierto que se encuentran en GitHub.
Además, la infraestructura que respalda a Stealth Soldier muestra similitudes con la infraestructura utilizada en una campaña de phishing anterior llamada Eye on the Nile, que apuntó a periodistas egipcios y activistas de derechos humanos en 2019.
Este desarrollo reciente sugiere el resurgimiento potencial del actor de amenazas involucrado en Eye on the Nile. Indica que el grupo se centra en actividades de vigilancia dirigidas a entidades egipcias y libias.
