Un colección de actividad de amenaza conocido como Sombra se ha atribuido a un nuevo conjunto de ataques dirigidos a entidades gubernamentales interiormente de Asia Central y Asia-Pacífico (APAC).
Según el grupo-IB, se han identificado casi tres docenas de víctimas, con las intrusiones principalmente orientadas a la exfiltración de datos. El colección de piratería comparte el conjunto de herramientas y las superposiciones de infraestructura con campañas realizadas por los actores de amenaza denominados Yorotrooper, Sturgeonphisher y Silent Lynx.
Las víctimas de las campañas del colección abarcan Uzbekistán, Kirguistán, Myanmar, Tayikistán, Pakistán y Turkmenistán, la mayoría de las cuales son organizaciones gubernamentales y, en último medida, entidades en los sectores de energía, fabricación, saldo minorista y transporte.
«La operación es realizada por una tripulación bilingüe: desarrolladores de acento rusa vinculada al código de Yorotrooper heredado y a los operadores de acento china que encabezan intrusiones, lo que resulta en un perfil de amenaza multirregional ágil y ágil», dijeron los investigadores Nikita Rostovcev y Sergei Turner. «La profundidad exacta y la naturaleza de la cooperación de estos dos subgrupos siguen siendo inciertos».
Yorotrooper fue documentado públicamente por primera vez por Cisco Talos en marzo de 2023, detallando sus ataques dirigidos al gobierno, la energía y las organizaciones internacionales en toda Europa desde al menos junio de 2022. Se cree que el colección está activo hasta 2021, según ESET.
Un descomposición posterior más tarde ese año reveló que el colección de piratería probablemente consiste en individuos de Kazajstán en función de su fluidez en Kazajustes y Rusios, así como lo que parecía ser esfuerzos deliberados para evitar las entidades dirigidas en el país.
Luego, a principios de enero, los laboratorios de Seqrite descubrieron ataques cibernéticos orquestados por un adversario llamado Lynx silencioso que destacó varias organizaciones en Kirguistán y Turkmenistán. Igualmente caracterizó al actor de amenaza como superpuestas con Yorotrooper.
Shadowsilk representa la última proceso del actor de amenazas, aprovechando los correos electrónicos de phishing de bichero como el vector de llegada auténtico para eliminar los archivos protegidos con contraseña para soltar un cargador personalizado que oculta el tráfico de comando y control (C2) detrás de los bots de telegrama para sortear la detección y entregar cargas aperos adicionales. La persistencia se logra modificando el registro de Windows para ejecutarlos automáticamente a posteriori de un reinicio del sistema.
The threat actor also employs public exploits for Drupal (CVE-2018-7600 and CVE-2018-76020 and the WP-Automatic WordPress plugin (CVE-2024-27956), alongside leveraging a diverse toolkit comprising reconnaissance and penetration-testing tools such as FOFA, Fscan, Gobuster, Dirsearch, Metasploit, and Huelga de cobalto.
Por otra parte, Shadowsilk se ha incorporado en sus paneles web del plan Astillero JRAT y MORF adquiridos en los foros de DarkNet para establecer dispositivos infectados, y una útil a medida para robar archivos de almacenamiento de contraseñas de Chrome y la secreto de descifrado asociada. Otro aspecto trascendente es su compromiso de sitios web legítimos para meter cargas aperos maliciosas.
«Una vez interiormente de una red, Shadowsilk despliega conchas web (como Antsword, Behind, Godzilla y Finalshell), herramientas posteriores a la explotación basadas en agudas y utilidades de túnel como resocks y cincel para moverse lateralmente, aumentar los privilegios y los datos de siphones», dijeron los investigadores.
Se han observado que los ataques allanan el camino para un troyano de llegada remoto (rata) basado en Python que puede cobrar comandos y exfiltrados datos a un bot de telegrama, permitiendo así que el tráfico ladino se disfraze como una actividad de mensajero genuino. Los módulos de Strike y MetaSploit se utilizan para tomar capturas de pantalla e imágenes de cámara web, mientras que un script de PowerShell personalizado explora para archivos que coinciden con una tira predefinida de extensiones y las copia en un archivo zip, que luego se transmite a un servidor foráneo.
La compañía singapurense ha evaluado que los operadores del Comunidad Yorotrooper con fluidez ruso y probablemente participan en el ampliación de malware y facilitan el llegada auténtico.
Sin incautación, una serie de capturas de pantalla que capturan una de las estaciones de trabajo de los atacantes, con imágenes del diseño activo del teclado, la traducción cibernética de los sitios web del gobierno de Kirguistán en chino y un escáner de vulnerabilidad de idioma chino, indica la billete de un cirujano de acento china, agregó.
«El comportamiento fresco indica que el colección sigue siendo en extremo activo, con nuevas víctimas identificadas recientemente como julio», dijo el grupo-IB. «Shadowsilk continúa enfocándose en el sector gubernativo en Asia Central y la región más amplia de APAC, lo que subraya la importancia de monitorear su infraestructura para evitar el compromiso a espacioso plazo y la exfiltración de datos».
