Los investigadores de ciberseguridad han identificado un nuevo actor de amenazas vinculado a China, denominado Earth Alux, que ha dirigido ataques contra sectores clave como el gobierno, la tecnología, la logística, la fabricación, las telecomunicaciones, los servicios de TI y el comercio minorista. Sus principales objetivos se encuentran en las regiones de Asia-Pacífico (APAC) y América Latina (LATAM).
Evolución de Earth Alux: De APAC a LATAM
Según investigadores de Trend Micro Lenart Bermejo, Ted Lee y Theo Chen, las primeras actividades de este colectivo se detectaron en el segundo trimestre de 2023 en la región APAC. Para mediados de 2024, también se había observado su presencia en América Latina.
Los países más afectados incluyen Tailandia, Filipinas, Malasia, Taiwán y Brasil, lo que indica un patrón de expansión geográfica que podría seguir creciendo.
Cadenas de infección y métodos de ataque
Earth Alux explota servicios vulnerables en aplicaciones web expuestas a Internet para obtener acceso inicial a los sistemas. Una vez dentro, implementa el shell web Godzilla, lo que le permite desplegar cargas útiles adicionales. Entre estas herramientas maliciosas destacan:
- VARGEIT: Puerta trasera que carga herramientas desde un servidor de Command & Control (C&C) a un proceso generado de Microsoft Paint (mspaint.exe). Se usa para reconocimiento, recopilación y exfiltración de datos.
- COBEACON (Cobalt Strike Beacon): Funciona como una puerta trasera de primera etapa.
- MASQLOADER y RSBINJECT: Cargadores de malware que facilitan la ejecución de COBEACON.
VARGEIT también es utilizado para el movimiento lateral y el descubrimiento de redes sin archivos, lo que aumenta su peligrosidad.
 |
| Interacción entre VARGEIT y el controlador |
Técnicas de evasón de detección
Los atacantes han refinado sus técnicas para evitar ser detectados por los sistemas de seguridad. Entre las métodos empleados están:
- Enganche anti-API en MASQLOADER: Sobrescribe los ganchos de NTDLL.dll insertados por programas de seguridad, permitiendo que el malware pase desapercibido.
- Carga lateral de DLL con RAILLOAD: Ejecuta una carga cifrada ubicada en una carpeta diferente.
- RAILSETTER: Altera marcas de tiempo de archivos para dificultar su detección y crea tareas programadas para persistencia.
Mecanismos avanzados de comunicación C&C
Earth Alux destaca por la capacidad de VARGEIT para comunicarse con su servidor C&C a través de 10 canales diferentes, incluyendo:
- HTTP, TCP, UDP, ICMP y DNS.
- Microsoft Outlook: Utiliza la API Graph para intercambiar comandos a través de la carpeta de borradores de un buzón controlado por los atacantes.
Los mensajes enviados desde el servidor C&C se identifican con el prefijo «r_», mientras que las respuestas de la puerta trasera comienzan con «p_». Esto le permite ejecutar comandos y recopilar grandes volúmenes de datos de manera eficiente.
Uso de herramientas de prueba y optimización del malware
Los investigadores de Trend Micro han detectado que Earth Alux emplea herramientas de prueba ampliamente utilizadas por ciberdelincuentes de habla china, como:
- ZeroEye: Analiza tablas de importación de archivos EXE para detectar DLLs que puedan ser abusadas en la carga lateral.
- VirTest: Permite evaluar la detección del malware por parte de programas antivirus antes de su despliegue en entornos reales.
Un actor de amenazas en evolución
Earth Alux representa una amenaza avanzada de ciberespionaje con técnicas altamente sofisticadas. Su capacidad de expansión geográfica, junto con el desarrollo constante de herramientas para evadir detecciones, sugiere que continuará siendo un riesgo significativo para sectores críticos en APAC y LATAM.
Las organizaciones deben fortalecer sus estrategias de ciberseguridad implementando actualizaciones constantes, monitorizando actividades sospechosas y reforzando la protección contra ataques avanzados. La sofisticación de Earth Alux indica que el grupo seguirá evolucionando, lo que hace imperativo contar con mecanismos de defensa actualizados y resilientes frente a este tipo de amenazas.
Fuente: The Hacker News
