Los responsables detrás del malware HiatusRAT han emergido nuevamente tras su período de inactividad, desatando una nueva ola de actividad enfocada en el reconocimiento y tomando como objetivos a organizaciones con base en Taiwán y un sistema de adquisición militar de los Estados Unidos.
No solo se han recopilado nuevamente muestras de malware para diversas arquitecturas, sino que también se ha detectado que los artefactos han sido alojados en servidores virtuales privados (VPS) recién establecidos. Según un informe reciente publicado por Lumen Black Lotus Labs, estas acciones han sido descritas por la firma de ciberseguridad como audaces y descaradas. Por el momento, la identidad y el origen de estos actores maliciosos siguen siendo un enigma.
Los objetivos de esta andanada incluyen tanto a entidades comerciales, como fabricantes de semiconductores y productos químicos, como a una entidad gubernamental municipal en Taiwán. Además, los atacantes han dirigido su mirada hacia un servidor del Departamento de Defensa de los Estados Unidos (DoD) que está vinculado al proceso de presentación y adjudicación de contratos de defensa.
El malware HiatusRAT se presentó por primera vez al público por la empresa de ciberseguridad en marzo de 2023, cuando se descubrió que estaba apuntando a enrutadores de alto nivel con el propósito de espiar de manera encubierta a sus objetivos, principalmente ubicados en América Latina y Europa. La campaña maliciosa se había iniciado en julio de 2022 y logró infectar hasta 100 dispositivos de red perimetral en todo el mundo. Estos dispositivos se convirtieron en una red de infraestructura de comando y control (C2) que recopilaba pasivamente el tráfico de red.
Los ataques más recientes, que abarcan desde mediados de junio hasta agosto de 2023, han involucrado el uso de versiones precompiladas de HiatusRAT que han sido diseñadas específicamente para arquitecturas como Arm, Intel 80386, x86-64, MIPS, MIPS64 e i386.
Un análisis exhaustivo de la telemetría ha revelado que más del 91% de las conexiones entrantes al servidor que aloja el malware provienen de Taiwán, y existe una preferencia evidente por los dispositivos perimetrales fabricados por Ruckus.
La infraestructura de HiatusRAT se compone de servidores de reconocimiento y servidores de carga útil que se comunican directamente con las redes de las víctimas. Estos servidores son controlados a su vez por servidores de Nivel 1, que son operados y gestionados por servidores de Nivel 2.
Se ha identificado que los atacantes emplearon dos direcciones IP diferentes, 207.246.80[.]240 y 45.63.70[.]57, para acceder al servidor del DoD (Departamento de Defensa estadounidense) el 13 de junio durante un período de aproximadamente dos horas. Durante este intervalo, se estima que se transfirieron 11 MB de datos en ambas direcciones.
Aunque el propósito definitivo de estos ataques aún no está claro, existe la sospecha de que los atacantes podrían haber estado buscando información de acceso público relacionada con contratos militares actuales y futuros, posiblemente con la intención de preparar ataques futuros.
Este enfoque en los dispositivos perimetrales, como los enrutadores, ha emergido como un patrón recurrente en los últimos meses. Actores de amenazas vinculados a China han sido asociados con la explotación de vulnerabilidades en dispositivos Fortinet y SonicWall sin parchear, con el objetivo de establecer una presencia persistente en los sistemas objetivo.
«A pesar de las revelaciones anteriores sobre las herramientas y capacidades de los atacantes, estos no han tomado más que medidas mínimas para reemplazar los servidores de carga útil existentes. Continúan sus operaciones sin siquiera intentar reconfigurar su infraestructura de comando y control».
Destacó Lumen Black Lotus Labs
Más información:
Deja una respuesta