El actor de amenazas patrocinado por el estado ruso conocido como APT29 se ha vinculado a una campaña de phishing descubierta que está dirigida a entidades diplomáticas en toda Europa con una nueva reforma de Wineloader y un cargador de malware previamente no ostensible en el código Grapeloader.
«Si admisiblemente la reforma mejorada de Wineloader sigue siendo una puerta trasera modular utilizada en etapas posteriores, Grapeloader es una aparejo de marco original recientemente observada utilizada para huellas digitales, persistencia y entrega de carga útil», dijo Check Point en un estudio técnico publicado a principios de esta semana.
«A pesar de los diferentes roles, tanto comparten similitudes en la estructura del código, la ofuscación y el descifrado de cuerdas. El grudidor refina las técnicas anti-análisis de Wineloader al tiempo que introduce métodos de sigilo más avanzados».
El uso de Wineloader fue documentado por primera vez por Zscaler AMENAYLABZ en febrero de 2024, con los ataques que aprovechan los señuelos de degustación de vinos para infectar a los sistemas de personal diplomático.
Mientras que la campaña se atribuyó por primera vez a un clúster de actividad de amenazas llamado Spikedwine, un estudio posterior de Mandiant, propiedad de Google, lo conectó con el especie de piratería APT29 (igualmente conocido como Cozy Bear o Midnight Blizzard), que está afiliado al Servicio de Inteligencia Extranjera (SVR) de Rusia.
El final conjunto de ataques implica remitir invitaciones por correo electrónico que se hace producirse por un Servicio Europeo de Asuntos Exteriores no especificados a los objetivos para eventos de degustación de vinos, convenciéndolos de hacer clic en un enlace que desencadena el despliegue de Grapeloader por medio de un archivo de cañas con malware («Wine.zip»). Los correos electrónicos se enviaron desde los dominios Bakenhof (.) Com y Silry (.) Com.
Se dice que la campaña ha señalado principalmente múltiples países europeos con un enfoque específico en los ministerios de asuntos exteriores, así como en las embajadas de otros países en Europa. Hay indicios de que los diplomáticos con sede en el Medio Oriente igualmente pueden acontecer sido atacados.
El archivo ZIP contiene tres archivos: A DLL («AppVISVSubSystems64.dll») que sirve como una dependencia para ejecutar un ejecutable genuino de PowerPoint («Wine.exe»), que luego se explota para la carga limítrofe de DLL para difundir un DLL bellaco («PPCore.dll»). El malware palpitación funciona como un cargador (es aseverar, Grapeloader) para soltar la carga útil principal.
El malware apetencia persistencia al modificar el registro de Windows para avalar que el ejecutable «Wine.exe» se inicie cada vez que se reinicia el sistema.
Grapeloader, adicionalmente de incorporar técnicas anti-análisis como la ofuscación de cadenas y la resolución de API de tiempo de ejecución, está diseñado para resumir información básica sobre el host infectado y exfiltrarse a un servidor forastero para recuperar el código de caparazón de la próximo etapa.
Aunque la naturaleza exacta de la carga útil no está clara, Check Point dijo que identificó artefactos de Wineloader actualizados cargados en la plataforma Virustotal con marcas de tiempo de compilación que coinciden con las de «AppvisVSVSubSystems64.dll».
«Con esta información, y el hecho de que Grapeloader reemplazó a Rootsaw, un descargador de HTA utilizado en campañas pasadas para ofrecer a Wineloader, creemos que Grapeloader finalmente conduce al despliegue de Wineloader», dijo la compañía de seguridad cibernética.
Los hallazgos se producen cuando Harfanglab detalló el malware Pterolnk VBScript de Gamaredon, que es utilizado por el actor de amenaza rusa para infectar todas las unidades USB conectadas con versiones VBScript o PowerShell del software bellaco. Las muestras de Pterolnk se cargaron a Virustotal entre diciembre de 2024 y febrero de 2025 desde Ucrania, un objetivo principal del especie de piratería.
«Ambas herramientas, cuando se implementan en un sistema, intentan repetidamente detectar unidades USB conectadas, para soltar archivos LNK y, en algunos casos, igualmente una copia de Pterolnk en ellas», señaló ESET en septiembre de 2024. «Haga clic en un archivo LNK puede, dependiendo de la lectura particular de Pterolnk que lo creó directamente, ya sea que se recupere directamente en la etapa de A C2, o exente en un ser servidor, o exente a un servidor, o sea execuente de un servidor PTEROLNK.
La firma de ciberseguridad francesa describió los archivos Pterolnk VBScript como fuertemente ofuscados y responsables de construir dinámicamente un descargador y un cuentagotas LNK durante la ejecución. Si admisiblemente el descargador está programado para ejecutarse cada 3 minutos, el script LNK Dropper está configurado para ejecutarse cada 9 minutos.
El descargador emplea una estructura modular de varias etapas para presentarse a un servidor remoto y obtener malware adicional. El cuentagotas LNK, por otro costado, se propaga a través de unidades locales y de red, reemplazando los archivos .pdf, .docx y .xlsx en la raíz del directorio con contrapartes de golpe directo engañoso y ocultando los archivos originales. Estos atajos, cuando se lanzan, están diseñados para ejecutar Pterolnk en su punto.
«Los scripts están diseñados para permitir flexibilidad para sus operadores, lo que permite una acomodaticio modificación de parámetros como nombres de archivos y rutas, mecanismos de persistencia (claves de registro y tareas programadas) y método de detección para soluciones de seguridad en el sistema de destino», dijo Harfanglab.
Vale la pena señalar que el descargador y el cuentagotas de LNK se refieren a las mismas dos cargas enseres que el equipo de cazadores de amenazas de Symantec, parte de Broadcom, revelado a principios de este mes como parte de una sujeción de ataque que distribuye una lectura actualizada del Gammteel Stealer –
- Ntuser.dat.tmcontainer0000000000000000000001.regtrans-ms (descargador)
- Ntuser.dat.tmcontainer0000000000000000000002.regtrans-ms (cuentagotas LNK)
«Gamaredon opera como un componente crítico de la logística de operaciones cibernéticas de Rusia, particularmente en su querella en curso con Ucrania», dijo la compañía. «La efectividad de Gamaredon no se encuentra en la sofisticación técnica sino en la adaptabilidad táctica».
«Su modus operandi combina campañas de asta agresivas, un rápido despliegue de malware personalizado muy ofuscado e infraestructura C2 redundante. El especie prioriza el impacto activo sobre el sigilo, ejemplificados al señalar sus DDR a dominios de larga data vinculados públicamente a sus operaciones anteriores».
