Samurai Backdoor utilizado por New Threat Actor

Un actor de amenazas relativamente nuevo ha llevado a cabo múltiples ataques contra grandes objetivos tanto en Europa como en Asia. El grupo de piratas informáticos ha sido apodado "ToddyCat" y una de las herramientas utilizadas por el equipo es la puerta trasera Samurai.

ToddyCat ha existido durante un par de años, inicialmente apuntando a entidades ubicadas en Taiwán y Vietnam, a partir del último mes de 2020. Desde entonces, el equipo criminal ha incluido organizaciones ubicadas en Europa en su lista de objetivos.

Inicialmente, ToddyCat usó una vulnerabilidad previamente desconocida en Mircosoft Exchange para atacar servidores ubicados en países asiáticos. Los ataques utilizaron un cuentagotas que se encarga de desplegar los otros componentes utilizados en el ataque. También crea varias claves de registro nuevas y las agrega al registro del sistema de la víctima. Esto se hace para forzar la carga de la puerta trasera Samurai a través de svchost.exe, un componente legítimo de un sistema Windows.

La puerta trasera Samurai en sí está codificada en C# y funciona al escuchar solicitudes especiales que tienen código C# encriptado en ellas. El código recibido de esta manera es compilado y luego ejecutado por la puerta trasera en tiempo de ejecución.

El nombre Samurai proviene del uso de diccionarios que contienen la palabra "samurai", que se utiliza para almacenar el directorio actual en el que está activo el malware.

La puerta trasera puede compilar cinco módulos separados recibidos como código, incluidos los módulos responsables del control remoto, la enumeración y el robo de archivos, así como la funcionalidad de proxy.