SparklingGoblin New APT apunta a entidades en Norteamérica
Después de investigar y seguir otro vector de investigación, los investigadores de seguridad parecen haberse topado con un nuevo actor de amenazas en el panorama digital. Los investigadores llaman SparklingGoblin al nuevo APT o actor de amenazas persistentes activas. Su actividad se remonta a ataques dirigidos a instituciones y empresas ubicadas en América del Norte.
SparklingGoblin es una APT nueva, pero según las observaciones y la investigación realizadas hasta ahora, parece estar vinculada a un actor de amenazas conocido diferente. La entidad vinculada a SparklingGoblin está codificada como APT41 y es conocida por varios nombres, incluidos Wicked Panda y Winnti Group. Los investigadores creen que Winnti Group es un actor de amenazas que opera fuera de China, patrocinado por el gobierno del país.
El vínculo entre las dos APT se encontró principalmente en el kit de herramientas de infiltración que ambos usan. SparklingGoblin se encontró usando una nueva puerta trasera que se asemeja a una herramienta de puerta trasera utilizada en el pasado por Winnti Group.
La nueva instancia del malware utilizada por SparklingGoblin se llama SideWalk y hay una serie de similitudes entre ella y una herramienta más antigua conocida por los investigadores llamada CrossWalk, utilizada por Winnti Group en el pasado. Este fue uno de los principales indicadores de que las dos APT están vinculadas, así como el hecho de que ambas usan el idioma chino.
Los investigadores no buscaban específicamente al nuevo actor de amenazas. En realidad, originalmente estaban llevando a cabo una investigación sobre la actividad de Winnti Group, pero se encontraron con una muestra de malware que les indicó que se trataba de una nueva entidad. Encontraron una muestra de malware que estaba empaquetada como CrossWalk de Winnti Group y se comportaba de manera similar, ejecutando código de shell usando comandos recibidos de un servidor de comando y control.
Sin embargo, hubo una diferencia clave. La herramienta SideWalk utilizada por SparklingGoblin utilizó una variante diferente del malware PlugX, llamado Korplug por los investigadores. También pudo utilizar los servidores en la nube de Google Docs como ubicación sin salida para su carga útil.
Una vez implementado en un sistema, SideWalk utiliza el proceso de vaciado para inyectar su código malicioso, que ya ha sido descifrado por la puerta trasera. La pandilla SparklingGoblin que opera la puerta trasera busca recopilar información de los sistemas en los que se infiltra, dijeron los investigadores. Los objetivos ubicados en América del Norte hasta ahora han sido escuelas canadienses y un minorista de computadoras con sede en Estados Unidos.
