Currículums con sorpresa: hackers del grupo APT‑C‑60 se infiltran masivamente en empresas japonesas
Del primer clic al compromiso total del sistema: en cuestión de minutos.
El grupo APT-C-60, previamente observado en ataques dirigidos contra organizaciones japonesas, continúa empleando los mismos enfoques, combinando técnicas probadas con detalles técnicos actualizados. En los últimos meses especialistas de JPCERT registraron una nueva ola de ataques orientados a personal encargado de la selección de personal. Se volvió a usar el esquema de currículos falsos, pero ahora los adjuntos maliciosos se entregan directamente por correo, sin pasar por almacenamientos externos.
Los mensajes de phishing se envían supuestamente en nombre de candidatos. En el cuerpo del correo hay un archivo adjunto en formato VHDX, en el que se oculta un acceso directo LNK. Al abrirlo se activa un script que utiliza el ejecutable legítimo gcmd.exe del paquete Git. Ese script muestra un documento ficticio y, a la vez, crea y ejecuta un componente adicional, WebClassUser.dat —un cargador de primera etapa— que se guarda en el registro y se ejecuta mediante la interceptación de clases COM.
El actualizado Downloader1 se comunica con el sitio StatCounter y transmite datos sobre la máquina infectada, incluido el número de serie del volumen y el nombre del equipo. Esa misma combinación se usa como nombre de archivo que se descarga desde GitHub. En él se indican instrucciones y enlaces para bajar el segundo componente —Downloader2— capaz no solo de entregar la carga útil, sino también de ejecutar comandos que permiten cambiar la frecuencia de comunicación con el servidor o iniciar la carga de una DLL.
Downloader2 descarga el software espía SpyGlace y su cargador. Todos los datos transmitidos se cifran mediante XOR y, en el caso de SpyGlace, además con el algoritmo AES usando una clave y un vector de inicialización fijos. SpyGlace admite la resolución dinámica de API mediante un esquema que combina sumas y operaciones a nivel de bits. Se han detectado tres versiones nuevas: 3.1.12, 3.1.13 y 3.1.14. En la última se añadió el comando uld, que descarga un módulo después de invocar la función necesaria, y también se modificó la ruta de autoinicio.
La transmisión de datos desde el dispositivo infectado a los servidores de mando se realiza mediante una combinación de BASE64 y RC4 modificado. Cada petición contiene valores que incluyen el hash MD5 de la cadena «GOLDBAR», información del sistema y un bloque cifrado con datos únicos de la máquina. Este mismo identificador ya apareció en ataques contra Japón documentados por otras organizaciones.
Como señuelo se utiliza un currículo falso con un listado de publicaciones científicas. Sin embargo, los nombres de los autores reales no coinciden con el remitente del correo. En el currículo figura un nombre que coincide parcialmente con la dirección de Gmail, lo que permite suponer que la cuenta se creó específicamente para este ataque.
El papel de GitHub en la infraestructura de APT-C-60 se ha hecho más visible: a través de repositorios se distribuyen todas las versiones del código malicioso y también se almacenan archivos de control. Los investigadores lograron registrar las fechas de subida de todas las nuevas versiones de SpyGlace, así como extraer direcciones de correo electrónico e información sobre dispositivos infectados del historial de commits.
A pesar del traslado de Bitbucket a GitHub y de las actualizaciones puntuales de componentes maliciosos, el estilo de APT-C-60 permanece igual: énfasis en Asia Oriental, uso de servicios legítimos para la entrega y el control, y un esfuerzo de ocultamiento bien pensado. Los especialistas aconsejan mantener una mayor atención ante este tipo de ataques, especialmente al trabajar con correo y al procesar respuestas a ofertas de empleo.