Software malicioso de PingPull
Los investigadores de seguridad de la Unidad 42 de Palo Alto descubrieron y analizaron una nueva variedad de malware llamada PingPull. El nuevo malware tiene capacidades RAT y es particularmente difícil de detectar.
PingPull es la herramienta más nueva en el arsenal del actor de amenazas persistente avanzado GALLIUM, a veces denominado Softcell. Dada la geolocalización de las entidades objetivo de GALLIUM y su modo de operación, así como su uso de malware y modos de operación ya vinculados con actores de amenazas chinos conocidos, significa que es muy probable que el equipo de GALLIUM también sea chino y esté patrocinado por el estado.
PingPull en sí viene en tres variaciones diferentes que pueden usar tres protocolos diferentes para comunicarse con los servidores C2 del malware, incluso si las tres variantes tienen las mismas capacidades.
El troyano ofrece doce comandos diferentes, utilizando el proceso de Windows cmd.exe como shell inverso. Esos comandos incluyen la enumeración de la unidad de almacenamiento, todas las operaciones principales con archivos, incluida la conversión a hexadecimal, la marca de tiempo de los archivos y la manipulación de directorios.
El malware puede instalar una copia de sí mismo como un servicio en la máquina comprometida, copiando la descripción del servicio Iphlpsvc de Windows, en un intento de esquivar la detección.
La comunicación entre el troyano y su infraestructura C2 se cifra mediante AES.