Investigadores de ciberseguridad han revelado detalles de un grupo de amenazas previamente no documentado llamado Unfading Sea Haze que se cree ha estado activo desde 2018.
La intrusión se centró en organizaciones de alto nivel en países del Mar del Sur de China, especialmente objetivos militares y gubernamentales, según Bitdefender en un informe compartido con The Hacker News.
“La investigación reveló una tendencia preocupante más allá del contexto histórico”, dijo Martin Zugec, director de soluciones técnicas de Bitdefender, agregando que identificó un total de ocho víctimas hasta la fecha.
“Es notable que los atacantes recuperaran repetidamente el acceso a sistemas comprometidos. Esta explotación destaca una vulnerabilidad crítica: mala higiene de credenciales y prácticas de parcheo inadecuadas en dispositivos expuestos y servicios web”.
Existen algunas indicaciones de que el actor de amenazas detrás de los ataques opera con objetivos alineados con los intereses chinos a pesar de que las firmas de los ataques no se superponen con las de ningún grupo de piratas informáticos conocido.
Esto incluye la huella de victimología, con países como Filipinas y otras organizaciones en el Pacífico Sur anteriormente atacadas por el actor vinculado a China Mustang Panda.
También se utilizan en los ataques varias iteraciones del malware Gh0st RAT, un troyano de mercancía conocido por ser utilizado por actores de amenazas que hablan chino.
“Una técnica específica empleada por Unfading Sea Haze – ejecutar código JScript a través de una herramienta llamada SharpJSHandler – se asemejaba a una característica encontrada en el ‘backdoor’ ‘FunnySwitch‘, que ha sido vinculada a APT41″, dijo Bitdefender. “Ambos implican la carga de ensamblajes .NET y la ejecución de código JScript. Sin embargo, esta fue una similitud aislada”.
Aún no se conoce la vía exacta de acceso inicial utilizada para infiltrar los objetivos, aunque, en un giro interesante, se ha observado que Unfading Sea Haze recupera el acceso a las mismas entidades a través de correos electrónicos de spear-phishing que contienen archivos trampa.
Estos archivos de archivo vienen equipados con archivos de acceso directo de Windows (LNK) que, al ejecutarse, inician el proceso de infección ejecutando un comando diseñado para recuperar la carga útil de la siguiente etapa de un servidor remoto. Esta carga útil es un backdoor llamado SerialPktdoor que está diseñado para ejecutar scripts de PowerShell, enumerar directorios, descargar/subir archivos y eliminar archivos.
Además, el comando utiliza el Motor de Compilación de Microsoft (MSBuild) para ejecutar un archivo de forma remota, dejando así sin rastro en el host de la víctima y disminuyendo las posibilidades de detección.
Las cadenas de ataque se caracterizan por el uso de tareas programadas como una forma de establecer persistencia, con los nombres de las tareas haciéndose pasar por archivos legítimos de Windows que se utilizan para ejecutar un ejecutable inofensivo susceptible de carga lateral de DLL para cargar un DLL malicioso.
“Además de utilizar tareas programadas, el atacante empleó otra técnica de persistencia: manipular cuentas de Administrador locales”, dijo la empresa de ciberseguridad rumana. “Esto involucraba intentos de habilitar la cuenta de Administrador local deshabilitada, seguidos por restablecer su contraseña.”
Al menos desde septiembre de 2022, se sabe que Unfading Sea Haze incorpora herramientas de Monitoreo y Gestión Remota (RMM) de disponibilidad comercial como ITarian RMM para obtener un punto de apoyo en las redes de las víctimas, una táctica no comúnmente observada entre actores estatales salvo el grupo Iranian MuddyWater.
La sofisticación del adversario se evidencia por una amplia variedad de herramientas personalizadas en su arsenal, que incluye variantes de Gh0st RAT como SilentGh0st y su sucesor evolutivo InsidiousGh0st (que viene en versiones de C++, C# y Go), TranslucentGh0st, FluffyGh0st y EtherealGh0st, las últimas tres de las cuales son modulares y adoptan un enfoque basado en complementos.
También se usa un cargador conocido como Ps2dllLoader que puede evitar la Interfaz de Escaneo Anti-Malware (AMSI) y actúa como un conducto para entregar SharpJSHandler, que opera escuchando solicitudes HTTP y ejecutando el código JavaScript codificado con la biblioteca Microsoft.JScript.
Bitdefender dijo que descubrió dos variantes más de SharpJSHandler capaces de recuperar y ejecutar una carga útil desde servicios de almacenamiento en la nube como Dropbox y Microsoft OneDrive, y exportar los resultados de vuelta al mismo lugar.
Ps2dllLoader también contiene otro backdoor denominado Stubbedoor que se encarga de lanzar un ensamblaje .NET encriptado recibido de un servidor de comando y control (C2).
Otros artefactos desplegados durante los ataques incluyen un registrador de teclas llamado xkeylog, un ladrón de datos de navegador web, una herramienta para monitorear la presencia de dispositivos portátiles y un programa de exfiltración de datos personalizado llamado DustyExfilTool que se utilizó entre marzo de 2018 y enero de 2022.
Eso no es todo. Presente entre el complejo arsenal de agentes y herramientas maliciosas utilizadas por Unfading Sea Haze está un tercer backdoor denominado SharpZulip que utiliza la API del servicio de mensajería Zulip para obtener comandos para su ejecución desde un ‘stream’ llamado “NDFUIBNFWDNSA”. En Zulip, los ‘streams’ (ahora llamados canales) son análogos a los canales en Discord y Slack.
Existen evidencias que sugieren que la exfiltración de datos se realiza manualmente por el actor de amenazas para capturar información de interés, incluidos datos de aplicaciones de mensajería como Telegram y Viber, y empaquetarlos en forma de un archivo protegido por contraseña.
“Esta combinación de herramientas personalizadas y comerciales, junto con la extracción manual de datos, dibuja un panorama de una campaña de espionaje dirigida a adquirir información sensible de sistemas comprometidos”, señaló Zugec.
“Su arsenal de malware personalizado, incluidas las variantes de Gh0st RAT y Ps2dllLoader, muestra un enfoque en la flexibilidad y técnicas de evasión. El cambio observado hacia la modularidad, elementos dinámicos y ejecución en memoria destaca sus esfuerzos por evadir las medidas de seguridad tradicionales”.