ShadowPad y SparrowDoor: un doble golpe a EE.UU. y México

El grupo chino FamousSparrow volvió a hacerse notar al llevar a cabo ataques a gran escala contra organizaciones en EE. UU. y México. Los objetivos fueron una asociación comercial en Estados Unidos y un instituto de investigación en México. En ambos casos, los atacantes implementaron los programas maliciosos SparrowDoor y ShadowPad, herramientas empleadas activamente en operaciones vinculadas a los intereses estatales de China.

Especialistas de la empresa ESET registraron una actividad maliciosa renovada en julio de 2024. Llamó especialmente la atención el hecho de que FamousSparrow utilizara ShadowPad, una plataforma ampliamente difundida entre los grupos cibernéticos chinos. Además, se emplearon dos nuevas versiones del backdoor propio SparrowDoor, una de las cuales presenta una arquitectura modular.

La investigación reveló un progreso significativo en el desarrollo de esta herramienta maliciosa. Las versiones actualizadas de SparrowDoor permiten ejecutar comandos en paralelo, lo que acelera considerablemente el procesamiento de tareas. Anteriormente, esta funcionalidad era poco común en herramientas similares, especialmente en las utilizadas por FamousSparrow en ataques anteriores.

El grupo fue descrito por primera vez en 2021 tras una serie de ataques a la industria hotelera, entidades gubernamentales, empresas de ingeniería y despachos jurídicos. Los analistas señalaron similitudes tácticas con otros grupos chinos como Earth Estries, GhostEmperor y Salt Typhoon, aunque consideran a FamousSparrow una unidad independiente con vínculos limitados con esos clústeres.

En el ataque más reciente, los atacantes implementaron una web shell en un servidor con IIS, aunque aún se desconoce el método exacto de entrega. Ambas víctimas utilizaban versiones obsoletas de Windows Server y Microsoft Exchange, lo que facilitó la intrusión. Tras la instalación del web shell, se descargaba desde un servidor remoto un script batch que contenía una web shell en .NET cifrada, la cual se ejecutaba para activar los componentes maliciosos de SparrowDoor y ShadowPad.

Entre las características de la nueva versión de SparrowDoor se incluye la posibilidad de lanzar proxies, abrir sesiones interactivas, trabajar con archivos, recopilar información del sistema y autodestruirse tras completar todas las tareas. Según los expertos, una de las variantes guarda similitudes con otro malware, Crowdoor, pero presenta una multitarea mejorada: cada comando lanza un hilo separado que establece comunicación con el servidor de control.

Los investigadores prestaron especial atención a la versión modular del backdoor. Esta funciona mediante un sistema de plugins y cuenta con nueve componentes distintos, que van desde la ejecución de la línea de comandos hasta la captura de pantallas y el registro de teclas pulsadas. Este enfoque permite ampliar la funcionalidad sin recompilar el código principal.

ESET subrayó que las modificaciones detectadas demuestran una actividad continua del grupo y evidencian el desarrollo activo de nuevas herramientas. Esto indica no solo que FamousSparrow conserva sus recursos, sino que también busca ampliar su capacidad en futuras campañas.

Un análisis breve de los parámetros técnicos, las decisiones arquitectónicas y la infraestructura revela un alto nivel de preparación y madurez del grupo. El seguimiento de IDs de las víctimas, la segmentación de comandos y el uso de procesamiento paralelo de tareas apuntan a que SparrowDoor está evolucionando hacia una plataforma completa de ciberespionaje capaz de adaptarse a distintos escenarios y objetivos.

A pesar de algunos indicios que relacionan a FamousSparrow con otros grupos chinos conocidos, la actividad actual y la singularidad del código sugieren una autonomía relativa y una base propia de desarrollo. Dado el alcance de los ataques y el conjunto de herramientas utilizadas, es probable que aparezcan nuevas campañas con versiones aún más sofisticadas del software malicioso.