Los investigadores de seguridad cibernética han detectado nuevos actores de amenazas que apuntan a empresas gubernamentales, de aviación, educativas y de telecomunicaciones.
Un informe (se abre en una pestaña nueva) de Symantec describió que un grupo al que llamaron Lancefly fue descubierto usando una pieza personalizada de malware para apuntar a las organizaciones mencionadas anteriormente. Lancefly está utilizando un ladrón de información personalizado llamado Merdoor que, según los investigadores, ha estado circulando desde al menos 2018. Los investigadores lo detectaron en ciertas campañas en 2020 y 2021, pero para esta campaña específica, el malware ha estado en uso desde mediados de 2018. 2022 y continuó hasta 2023.
Los expertos de Symantec afirman que los atacantes no están lanzando una red amplia con Merdoor, sino que son bastante quisquillosos con sus objetivos. “Solo un pequeño número de máquinas [are] infectados”, dijeron.
El malware Merdoor
Merdoor viene con una serie de funciones, incluida la instalación como un servicio, registro de teclas, diferentes medios de comunicación con el servidor C2 (HTTP, HTTPS, DNS, etc.) y la capacidad de escuchar comandos en un puerto local.
Si bien la evidencia de campañas anteriores sugiere que Lancefly utiliza técnicas clásicas de phishing para distribuir la puerta trasera a los puntos finales (se abre en una pestaña nueva), para esta campaña específica, el vector de infección no estaba claro, dijeron los investigadores. En un caso, los atacantes parecen haber utilizado fuerza bruta SSH. En otro caso, un balanceador de carga puede haber sido explotado para acceder.
“Si bien la evidencia de cualquiera de estos vectores de infección no es definitiva, parece indicar que Lancefly es adaptable en lo que respecta al tipo de vectores de infección que utiliza”, concluyeron los investigadores.
La identidad del grupo sigue siendo un misterio, aunque los investigadores sugirieron que podrían ser chinos. En sus campañas, Lancefly utiliza el rootkit ZXSHell, que está firmado por el certificado «Wemade Entertainment Co. Ltd». Este certificado está vinculado a Blackfly (AKA APT41), un actor de amenazas chino. Sin embargo, este grupo es conocido por compartir sus certificados con otros actores de amenazas.
Independientemente de la procedencia del grupo, una cosa es segura: el objetivo de su campaña es el espionaje y la recopilación de inteligencia.