0-Day contra Exchange: tres solicitudes y el correo cae ante NightEagle

Desde 2023, el equipo de Qian Pangu ha estado siguiendo de cerca la actividad de uno de los grupos cibernéticos más sigilosos. Este grupo, que posee una cadena de explotación desconocida para vulnerabilidades de Exchange, se destaca por sus impresionantes recursos financieros, que le permiten adquirir una gran cantidad de activos de red: servidores VPS y nombres de dominio. Cada nuevo objetivo de ataque recibe un dominio específico y las direcciones IP asociadas cambian rápidamente. Por su capacidad de cambiar de infraestructura a gran velocidad y su actividad predominantemente nocturna, fue apodado NightEagle y se le asignó el número interno APT-Q-95.

Durante mucho tiempo, NightEagle ha atacado a empresas e instituciones líderes de China relacionadas con alta tecnología, fabricación de chips y semiconductores, desarrollos cuánticos, inteligencia artificial, modelos de lenguaje a gran escala, así como la industria de defensa. Su objetivo principal es el robo de información. Tras robar los datos, los atacantes abandonan inmediatamente el segmento comprometido de la red, borrando meticulosamente sus huellas.

La primera señal de alarma sobre las actividades de NightEagle surgió cuando los expertos detectaron una solicitud DNS anómala al dominio synologyupdates[.]com, que se hacía pasar por un servicio del popular fabricante de dispositivos NAS Synology. Tras la verificación, se descubrió que el dominio no pertenecía oficialmente a la empresa. Los servidores DNS dirigían el tráfico a direcciones IP internas como 127.0.0.1 o 192.168.1.1, ocultando así el verdadero servidor de los atacantes.

Posteriormente se detectaron solicitudes masivas al dominio desde la red interna del cliente, repitiéndose cada 4 horas. En uno de los equipos de la red se descubrió un proceso llamado SynologyUpdate.exe. Se determinó que era un malware modificado de la familia Chisel, compilado en Go y diseñado para infiltrarse en la red. El malware se ejecutaba de forma programada mediante tareas del sistema.

El malware establece una conexión socks con el servidor de control utilizando TLS, lo que permite a los atacantes penetrar en la red eludiendo los sistemas de seguridad tradicionales. Los registros mostraron que el host infectado interactuaba con el servidor de correo interno de Exchange.

Durante la investigación se descubrió una herramienta de red única de NightEagle: un malware que funciona exclusivamente en la memoria. Esto le permite permanecer invisible para la mayoría de los antivirus y sistemas de protección. No se guardan muestras del malware en el disco y, tras finalizar el ataque, se eliminan de la memoria. Sin embargo, los expertos lograron extraer el componente de arranque del malware: un archivo DLL de ASP.NET insertado en el servicio IIS del servidor Exchange.

Al iniciarse, el cargador crea directorios virtuales con nombres que simulan identificadores de idioma, como ~/auth/lang/cn.aspx o ~/auth/lang/zh.aspx. Una solicitud a dichas direcciones activa el malware en la memoria, que busca y ejecuta funciones integradas dentro de los componentes de servicio de Exchange.

Llamó especialmente la atención la cadena desconocida de explotación de vulnerabilidades de Exchange. El análisis del tráfico de red reveló que los atacantes utilizaron un 0day desconocido para obtener la machineKey del servidor Exchange. Con ella, los hackers realizaban deserialización remota e instalaban malware en servidores de cualquier versión compatible, además de robar correos electrónicos. Cabe destacar que, para determinar la versión adecuada de Exchange, los atacantes probaron metódicamente todas las versiones populares del mercado, demostrando su alto nivel de preparación y recursos.

Se descubrió que los ataques de NightEagle llevan aproximadamente un año, y el robo de correos electrónicos ocurre de forma regular. Todas las operaciones están cuidadosamente encubiertas y son difíciles de detectar. Tras estudiar los patrones de actividad del grupo, los expertos concluyeron que los ataques se producen estrictamente entre las 21:00 y las 6:00, hora de Pekín. Esto permitió determinar un probable origen: un país ubicado en el octavo huso horario del hemisferio occidental, probablemente en América del Norte.

NightEagle dispone de una amplia infraestructura de dominios, cada uno utilizado estrictamente para un único objetivo de ataque. Además, los atacantes apuntan activamente a sistemas relacionados con modelos generativos de IA. Todos los dominios están registrados a través de la empresa Tucows, y las direcciones IP durante la operación del malware apuntan a direcciones locales o a proveedores estadounidenses, incluidos DigitalOcean, Akamai y The Constant Company. La frecuencia de las solicitudes oscila entre 2 y 8 horas.

Para detectar rastros del ataque, se recomienda inspeccionar los directorios del sistema de Exchange en busca de archivos sospechosos con nombres y extensiones características, así como analizar los registros del servicio de correo para identificar solicitudes inusuales y cadenas de UserAgent falsificadas.