TiltedTemple APT implementa el malware SockDetour

Los actores de amenazas persistentes avanzadas (APT) siempre están al acecho en las sombras, planeando su próxima campaña tortuosa que usaría malware nunca antes visto. Por supuesto, sus ataques no siempre son excelentes y, a veces, podemos echar un vistazo a las herramientas que utilizan estos grupos de amenazas de alto perfil. Recientemente, los proveedores de antivirus informaron sobre un nuevo troyano de puerta trasera que parece ser el producto de un actor APT altamente sofisticado rastreado bajo el alias TiltedTemple. La amenaza, denominada SockDetour, es un malware troyano peligroso, que tiene la capacidad de proporcionar a sus operadores acceso persistente a redes y sistemas infectados.

Como probablemente pueda adivinar, los piratas informáticos de alto nivel rara vez persiguen a los usuarios comunes. En cambio, sus objetivos son mucho más específicos. En este caso, el SockDetour Malware se ha utilizado contra redes pertenecientes a varios contratistas de defensa de EE. UU. Esto podría significar que el ataque tiene una motivación política, pero esto aún no se ha confirmado por completo.

El malware SockDetour puede haber estado activo durante más de 2 años

Supuestamente, algunas de las muestras de malware que se recuperaron de los sistemas infectados se remontan a 2019. Esto podría significar que SockDetour Malware ha estado activo durante mucho tiempo y ha logrado permanecer oculto gracias a sus capacidades sigilosas y evasivas. El troyano SockDetour es capaz de inyectar su código en procesos legítimos, operando efectivamente en modo sin archivos.

Hasta ahora, el malware se ha dirigido exclusivamente a máquinas con Windows. Una vez plantado, podría ser operado a través de comandos remotos enviados por los criminales detrás del ataque. Gracias a este troyano de puerta trasera, los piratas informáticos de TiltedTemple pueden haber modificado la configuración del sistema, extraído información y mucho más. El vector de ataque inicial aún no está claro.