Puerta trasera Deadglyph implementada por Stealth Falcon APT

Los expertos en ciberseguridad han descubierto una puerta trasera encubierta avanzada llamada Deadglifo, que anteriormente no había sido descubierta y utilizada por el actor de amenazas Stealth Falcon como parte de una operación de ciberespionaje.

En un informe reciente compartido con la plataforma de ciberseguridad The Hacker News, los investigadores de seguridad señalaron que la estructura de Deadglyph no es convencional debido a la colaboración entre dos componentes: un binario x64 nativo y un ensamblado .NET. Esto destaca porque el malware típico se basa en un único lenguaje de programación para sus elementos. Esta divergencia puede sugerir esfuerzos de desarrollo separados para estos componentes y al mismo tiempo explotar aspectos únicos de los lenguajes de programación que emplean.

También existe la sospecha de que el uso de distintos lenguajes de programación sirve como una táctica deliberada para impedir el análisis, lo que hace que sea considerablemente más difícil navegar y depurar.

A diferencia de otras puertas traseras convencionales de este tipo, Deadglyph recibe comandos de un servidor controlado por el actor de la amenaza, entregados en forma de módulos adicionales. Estos módulos permiten que la puerta trasera inicie nuevos procesos, acceda a archivos y recopile datos de sistemas comprometidos.

Actividad anterior de Stealth Falcon

Stealth Falcon, también conocido como FruityArmor, llamó la atención del público por primera vez en 2016 cuando Citizen Lab lo relacionó con una serie de ataques de software espía dirigidos en Medio Oriente. Estos ataques se dirigieron a periodistas, activistas y disidentes en los Emiratos Árabes Unidos, utilizando tácticas de phishing que involucraban enlaces trampa dentro de documentos cargados de macros para entregar un implante personalizado capaz de ejecutar comandos arbitrarios.

Una investigación posterior realizada por Reuters en 2019 descubrió el Proyecto Raven, una operación encubierta que involucraba a expersonal de inteligencia estadounidense que fueron reclutados por la firma de ciberseguridad DarkMatter para espiar a entidades críticas con la monarquía árabe. Hay fuertes indicios de que Stealth Falcon y Project Raven son lo mismo, dadas sus tácticas y objetivos superpuestos.

Desde entonces, el grupo ha estado vinculado a la explotación de vulnerabilidades de día cero en Windows, como CVE-2018-8611 y CVE-2019-0797. En abril de 2020, Mandiant informó que este grupo de espionaje había "utilizado más días cero que cualquier otro grupo" de 2016 a 2019.

Aproximadamente en el mismo período, los investigadores revelaron el uso por parte del grupo de una puerta trasera llamada Win32/StealthFalcon, que utilizaba el Servicio de transferencia inteligente en segundo plano (BITS) de Windows para la comunicación de comando y control (C2) y para obtener control total sobre un punto final.

Según una empresa de ciberseguridad eslovaca, Deadglyph es la última incorporación al conjunto de herramientas de Stealth Falcon, descubierta durante una investigación sobre una intrusión en una entidad gubernamental no revelada en el Medio Oriente.

Se desconoce el método específico utilizado para implementar el implante, pero el componente inicial responsable de activar su ejecución es un cargador de código shell que extrae y carga el código shell del Registro de Windows. Posteriormente, este cargador lanza el módulo x64 nativo de Deadglyph, conocido como Executor. Luego, el Ejecutor procede a cargar un componente .NET conocido como Orquestador, que se comunica con el servidor de comando y control (C2) para esperar más instrucciones. El malware también emplea varias técnicas evasivas para pasar desapercibido, incluida la capacidad de desinstalarse solo.