Duke Malware compuesto por un conjunto diverso de herramientas maliciosas

"Duke" es el término general para conjuntos de software malicioso empleados por el actor APT29 Advanced Persistent Threat (APT), también conocido como The Dukes, Cloaked Ursa, CozyBear, Nobelium y UNC2452. APT29 es un grupo patrocinado por el estado ruso afiliado al Servicio de Inteligencia Exterior de la Federación Rusa. El grupo está impulsado por motivos políticos y geopolíticos, centrándose principalmente en actividades de recopilación de inteligencia y ciberespionaje.

La colección de malware de Duke abarca una amplia gama de software malicioso, que va desde puertas traseras y cargadores de sistemas hasta herramientas de extracción de datos y disruptores de procesos.

La campaña de spam más reciente asociada con el grupo The Dukes ocurrió en 2023 e implicó la distribución de documentos PDF dañinos camuflados como invitaciones diplomáticas de la embajada alemana. Esta campaña de correo electrónico se dirigió a los ministerios de Relaciones Exteriores de los países alineados con la OTAN.

El actor de APT conocido como The Dukes ha estado activo desde al menos 2008, mostrando una diversa variedad de herramientas a lo largo de los años. A continuación se muestra una lista cronológica de algunos de los conjuntos de herramientas más destacados utilizados por este actor de amenazas.

Conjunto de herramientas diversas de Duke

PinchDuke comprende una serie de cargadores diseñados para infiltrar componentes o programas maliciosos adicionales en sistemas comprometidos. También incluye un capturador de exfiltración de archivos y un ladrón de credenciales. Este último apunta específicamente a datos relacionados con Microsoft Authenticator (passport.net), clientes de correo electrónico (Mail.ru, Mozilla Thunderbird, Outlook, The Bat!, Yahoo Mail), navegadores (Internet Explorer, Mozilla Firefox, Netscape Navigator), servicios de mensajería ( Google Talk), y más.

GeminiDuke incorpora capacidades de carga junto con múltiples mecanismos para garantizar la persistencia. También cuenta con funcionalidades de ladrón utilizadas principalmente para la recopilación de datos de configuración del dispositivo. La información de interés abarca cuentas de usuario, controladores y software instalados, procesos en ejecución, programas y servicios iniciados durante el inicio, configuración de red, carpetas específicas y presencia de archivos, programas ejecutados recientemente, carpetas y archivos abiertos, y más.

CosmicDuke (también conocido como BotgenStudios, NemesisGemina, Tinybaron) consta de varios cargadores, varios componentes de persistencia y un módulo de escalada de privilegios. La mayor parte de este malware funciona como un ladrón de información, con capacidades para filtrar archivos con extensiones particulares, exportar certificados criptográficos (incluidas claves privadas), capturar capturas de pantalla, registrar pulsaciones de teclas (keylogging), extraer credenciales de inicio de sesión (de navegadores, clientes de correo electrónico, mensajeros) y recuperar el contenido del portapapeles.

MiniDuke , disponible en múltiples variantes, incluido un cargador, un descargador y una puerta trasera, principalmente prepara un sistema para una mayor infección o facilita el proceso.

CozyDuke (también conocido como Cozer, CozyBear, CozyCar, EuroAPT) funciona principalmente como una puerta trasera que crea una vía para infecciones adicionales, en particular sus propios módulos. Para lograr esto, emplea un cuentagotas y múltiples módulos para mantener la persistencia.

Otros componentes incluyen aquellos para extraer datos del sistema, ejecutar comandos básicos de Cmd.exe, capturar capturas de pantalla y robar credenciales de inicio de sesión. Sin embargo, CozyDuke también tiene la capacidad de infiltrarse y ejecutar otros archivos, lo que podría facilitar varias formas de infección de malware.

OnionDuke es un malware modular que ofrece numerosas configuraciones potenciales, con capacidades de cargador y cuentagotas. El programa abarca varios módulos de robo de información, incluidos los diseñados para la recuperación de contraseñas y datos. Además, integra un módulo para lanzar ataques de denegación de servicio distribuido (DDoS) y otro para aprovechar cuentas de redes sociales comprometidas en campañas de spam (potencialmente para expandir la infección).

SeaDuke (también conocido como SeaDaddy, SeaDask) es una puerta trasera multiplataforma (Windows y Linux). Operando como un conjunto de herramientas relativamente sencillo, su objetivo principal es ejecutar archivos infiltrados, lo que hace avanzar el proceso de infección.