El actor de amenazas conocido como Harvester ha sido atribuido a una nueva versión para Linux de su puerta trasera GoGra, desplegada en ataques que probablemente apuntan a entidades en el sur de Asia. Según un informe compartido por Symantec y el equipo Carbon Black Threat Hunter con The Hacker News, el malware emplea la API legítima de Microsoft Graph y buzones de Outlook como canal de comando y control (C2) encubierto, lo que le permite eludir las defensas de red perimetrales tradicionales.
La empresa de ciberseguridad indicó que identificó artefactos cargados en la plataforma VirusTotal desde India y Afganistán, lo que sugiere que estos dos países podrían ser el objetivo de la actividad de espionaje.
Harvester fue documentado públicamente por primera vez por Symantec a finales de 2021, vinculándolo a una campaña de robo de información dirigida a sectores de telecomunicaciones, gobierno y tecnologías de la información en el sur de Asia desde junio de 2021, utilizando un implante personalizado llamado Graphon que empleaba la API de Microsoft Graph para C2.
Actividades posteriores señaladas en agosto de 2024 conectaron al grupo de hackers con un ataque contra una organización de medios no identificada en el sur de Asia, utilizando una puerta trasera basada en Go nunca antes vista llamada GoGra. Los nuevos hallazgos sugieren que el adversario continúa expandiendo su conjunto de herramientas más allá de Windows e infectando máquinas Linux con una nueva variante de la misma puerta trasera.
Los ataques emplean ingeniería social para engañar a las víctimas y hacer que abran archivos binarios ELF disfrazados como documentos PDF. El dropper luego procede a mostrar un documento señuelo mientras ejecuta sigilosamente la puerta trasera.
Al igual que su contraparte en Windows, la versión Linux de GoGra abusa de la infraestructura en la nube de Microsoft para contactar una carpeta de buzón de Outlook específica llamada 'Zomato Pizza' cada dos segundos mediante consultas del Protocolo de Datos Abiertos (OData). La puerta trasera escanea la bandeja de entrada en busca de mensajes de correo electrónico entrantes con una línea de asunto que comienza con la palabra 'Input'.
Una vez que se recibe un correo electrónico que cumple con los criterios, descifra el cuerpo del mensaje codificado en Base64 y lo ejecuta como comandos de shell usando '/bin/bash'. Los resultados de la ejecución se envían de vuelta al operador en un mensaje de correo electrónico con la línea de asunto 'Output'. Tras completar la exfiltración, el implante elimina el mensaje de tarea original para cubrir las huellas.
A pesar de usar diferentes arquitecturas de despliegue y sistemas operativos, la lógica subyacente de C2 permanece sin cambios, señalaron Symantec y Carbon Black, añadiendo que los equipos también identificaron varios errores ortográficos codificados coincidentes en ambas plataformas, lo que apunta al mismo desarrollador detrás de ambas herramientas.
El uso de una nueva puerta trasera para Linux demuestra que Harvester continúa expandiendo su conjunto de herramientas y desarrollando activamente nuevas herramientas para atacar a una gama más amplia de víctimas y máquinas.
