Un actor de amenaza persistente avanzada (APT) vinculado a China ha estado atacando infraestructuras críticas de telecomunicaciones en Sudamérica desde 2024, utilizando tres implantes diferentes contra sistemas Windows, Linux y dispositivos de red. La actividad es rastreada por Cisco Talos bajo el nombre UAT-9244, describiéndolo como estrechamente asociado con otro grupo conocido como FamousSparrow.
Cabe señalar que FamousSparrow se considera que comparte superposiciones tácticas con Salt Typhoon, un grupo de espionaje vinculado a China conocido por atacar a proveedores de servicios de telecomunicaciones. A pesar del perfil de objetivos similar entre UAT-9244 y Salt Typhoon, no hay evidencia concluyente que vincule a los dos grupos.
En la campaña analizada por la empresa de ciberseguridad, las cadenas de ataque han distribuido tres implantes no documentados anteriormente: TernDoor, dirigido a Windows; PeerTime (también conocido como angrypeer), dirigido a Linux; y BruteEntry, que se instala en dispositivos de red perimetral.
No se conoce el método exacto de acceso inicial utilizado en los ataques, aunque el adversario ha atacado previamente sistemas que ejecutan versiones obsoletas de Windows Server y Microsoft Exchange Server para instalar webshells y continuar con sus actividades.
Implante TernDoor
TernDoor se implementa mediante la carga lateral de DLL, aprovechando el ejecutable legítimo 'wsprint.exe' para lanzar una DLL maliciosa ('BugSplatRc64.dll') que descifra y ejecuta la carga útil final en memoria. Una variante de Crowdoor (que a su vez es una variante de SparrowDoor), se considera que UAT-9244 ha utilizado este backdoor desde al menos noviembre de 2024.
Establece persistencia en el anfitrión mediante una tarea programada o la clave de ejecución del Registro. También presenta diferencias con CrowDoor al utilizar un conjunto diferente de códigos de comando e incrustar un controlador de Windows para suspender, reanudar y terminar procesos. Además, solo admite un interruptor de línea de comandos ('-u') para desinstalarse del anfitrión y eliminar todos los artefactos asociados.
Una vez lanzado, verifica que se haya inyectado en 'msiexec.exe', tras lo cual decodifica una configuración para extraer los parámetros de comando y control (C2). Posteriormente, establece comunicación con el servidor C2, lo que le permite crear procesos, ejecutar comandos arbitrarios, leer/escribir archivos, recopilar información del sistema e implementar el controlador para ocultar componentes maliciosos y gestionar procesos.
Implante PeerTime
Un análisis adicional de la infraestructura de UAT-9244 llevó al descubrimiento de un backdoor peer-to-peer (P2P) de Linux denominado PeerTime, que se compila para varias arquitecturas (ARM, AARCH, PPC y MIPS) para infectar una variedad de sistemas embebidos. El backdoor ELF, junto con un binario instrumentador, se implementa mediante un script de shell.
'El binario instrumentador ELF verificará la presencia de Docker en el anfitrión comprometido usando los comandos docker y docker –q', dijeron los investigadores de Talos, Asheer Malhotra y Brandon White. 'Si se encuentra Docker, se ejecuta el cargador de PeerTime. El instrumentador contiene cadenas de depuración en chino simplificado, lo que indica que es un binario personalizado creado e implementado por actores de amenazas de habla china.'
El objetivo principal del cargador es descifrar y descomprimir la carga útil final de PeerTime y ejecutarla directamente en memoria. PeerTime viene en dos sabores: una versión escrita en C/C++ y una variante más nueva programada en Rust. Además de tener la capacidad de renombrarse como un proceso inofensivo para evadir la detección, el backdoor emplea el protocolo BitTorrent para obtener información C2, descargar archivos de sus pares y ejecutarlos en el sistema comprometido.
Implante BruteEntry
También se almacenan en los servidores del actor de amenaza un conjunto de scripts de shell y cargas útiles, incluido un escáner de fuerza bruta con nombre en código BruteEntry que se instala en dispositivos perimetrales para convertirlos en nodos proxy de escaneo masivo dentro de una Caja de Retransmisión Operativa (ORB) capaz de realizar ataques de fuerza bruta contra servidores Postgres, SSH y Tomcat.
Esto se logra mediante un script de shell que deja caer dos componentes basados en Golang: un orquestador que entrega BruteEntry, que luego contacta a un servidor C2 para obtener la lista de direcciones IP a atacar para realizar ataques de fuerza bruta. El backdoor finalmente informa los inicios de sesión exitosos de vuelta al servidor C2.
'"Success" indica si la fuerza bruta fue exitosa (verdadero o falso), y "notes" proporciona información específica sobre si la fuerza bruta fue exitosa', dijo Talos. 'Si el inicio de sesión falló, la nota dice "All credentials tried".'
