Un grupo de cibercriminales afiliado a China, identificado como ToddyCat, ha sido detectado explotando una vulnerabilidad en el software de seguridad de ESET para distribuir un malware inédito denominado TCESB. Este ataque ha generado preocupación en la comunidad de ciberseguridad debido a la capacidad del malware para evadir herramientas de protección y monitoreo.
¿Quién es el grupo ToddyCat y qué ataques ha realizado?
ToddyCat es un actor de amenazas que ha operado activamente en Asia desde al menos diciembre de 2020. Su historial incluye ataques dirigidos a entidades gubernamentales y corporativas, utilizando sofisticadas técnicas para mantener acceso persistente y extraer datos a gran escala.
El proveedor de seguridad ruso Kaspersky reveló en un informe reciente que el grupo ha empleado diversas herramientas para comprometer sistemas y recopilar información de organizaciones en la región de Asia-Pacífico. En su investigación más reciente, descubrieron un archivo DLL sospechoso, denominado version.dll, que se encontraba en el directorio temporal de múltiples dispositivos comprometidos.
Explotación de la vulnerabilidad en ESET y su impacto
El malware TCESB se introduce mediante una técnica conocida como secuestro de órdenes de búsqueda de DLL. A través de esta táctica, los atacantes logran ejecutar su versión maliciosa de la DLL version.dll, reemplazando la versión legítima que se encuentra en las carpetas del sistema C:\Windows\system32* o **C:\Windows\SysWOW64*.
La vulnerabilidad explotada, identificada como CVE-2024-11859 con una puntuación CVSS de 6,8, se encontraba en la herramienta ESET Command Line Scanner. Este error de seguridad, corregido en enero de 2025, permitía a los atacantes con privilegios administrativos cargar y ejecutar código malicioso en los dispositivos afectados.
ESET, en respuesta a esta vulnerabilidad, lanzó parches de seguridad para proteger a sus usuarios y garantizar la integridad de sus productos tanto en entornos personales como empresariales.
¿Cómo opera el malware TCESB?
El análisis de Kaspersky indica que TCESB es una versión modificada de la herramienta de código abierto EDRSandBlast, diseñada para deshabilitar funciones de monitoreo del sistema operativo. Para ello, emplea una técnica avanzada conocida como BYOVD (Bring Your Own Vulnerable Driver), que consiste en instalar controladores con vulnerabilidades previamente conocidas y explotarlas para obtener privilegios elevados.
En este caso, TCESB aprovecha una falla en el controlador DBUtilDrv2.sys de Dell, identificada como CVE-2021-36276, lo que le permite ejecutar código con privilegios elevados en el sistema infectado.
Ataques BYOVD: un método recurrente
No es la primera vez que los ciberdelincuentes explotan vulnerabilidades en controladores de Dell. En 2022, el Grupo Lazarus, vinculado a Corea del Norte, utilizó una vulnerabilidad similar (CVE-2021-21551) para desactivar mecanismos de seguridad en ataques de alto perfil. La recurrencia de estas tácticas subraya la importancia de actualizar controladores y aplicar medidas de mitigación en los sistemas.
¿Cómo se ejecuta la carga útil del malware?
Una vez que el controlador vulnerable está instalado, TCESB entra en un bucle de monitoreo que revisa cada dos segundos si un archivo de carga útil específico aparece en el sistema. Esta carga útil, cifrada con AES-128, se descifra y ejecuta automáticamente cuando se detecta en la ubicación designada.
El objetivo final del malware sigue siendo desconocido debido a la falta de muestras completas, pero se presume que podría estar relacionado con ciberespionaje y robo de información confidencial.
Medidas de prevención y detección
Para protegerse de amenazas como TCESB, los expertos de Kaspersky recomiendan:
- Monitorear los eventos de instalación de controladores vulnerables en los sistemas.
- Actualizar constantemente software y controladores para prevenir la explotación de vulnerabilidades conocidas.
- Restringir privilegios administrativos en los dispositivos para minimizar el impacto de ataques BYOVD.
- Supervisar la actividad en busca de cargas de símbolos de depuración del kernel de Windows, ya que pueden indicar intentos de manipulación del sistema.
En fin, el uso de técnicas avanzadas como el BYOVD y el secuestro de DLLs demuestra que los grupos de amenazas continúan evolucionando para eludir las defensas de seguridad. La detección temprana y la aplicación de medidas de seguridad proactivas son esenciales para prevenir ataques y minimizar el riesgo de compromisos a gran escala.
Dado el historial de ToddyCat, es probable que continúen sus campañas de ciberespionaje en el futuro. Las organizaciones deben mantenerse alerta y aplicar estrategias de seguridad robustas para mitigar los riesgos asociados con este tipo de amenazas avanzadas.
Fuente: The Hacker News
