Un acceso directo en el arranque basta para poner la red bajo control: los hackers captan comandos directamente del tráfico
Expertos desentrañan nueva versión del backdoor espía DRBControl y muestran cómo se infiltra en redes corporativas
La empresa japonesa Internet Initiative Japan (IIJ) informó de la observación de una nueva versión del malware Type 1 Backdoor, que se relaciona con el grupo de ciberespionaje DRBControl. El análisis mostró que en los ataques se utiliza un esquema de carga multietapa complejo, y el propio backdoor recibió varios cambios notables en comparación con muestras conocidas anteriormente.
DRBControl es un grupo APT que se dio a conocer en 2020. Los investigadores entonces lo describieron como operadores de una campaña de ciberespionaje dirigida, entre otros objetivos, al sector del juego, y consideraron posibles vínculos con APT41 y APT272. Los nuevos hallazgos de IIJ indican que la actividad del grupo pudo continuar en años posteriores.
Durante la investigación, los especialistas prestaron atención a un archivo DLL sospechoso subido a VirusTotal desde Taiwán con el nombre wlbsctrl.dll. Se hacía pasar por una biblioteca legítima de Windows y, al parecer, se ejecutaba mediante carga lateral de DLL. Al invocar la función exportada, el archivo leía datos de ntuser.ini, los inyectaba en el proceso winlogon.exe y ejecutaba código en su contexto. Ese código consistía en shellcode que, según los investigadores, es una variante del cargador Mofu Loader.
Tras su ejecución, el shellcode resolvía dinámicamente direcciones de las principales API de Windows, descifraba datos incorporados, los descomprimía y entregaba el control a la siguiente etapa: el backdoor DLL Type 1 Backdoor con la cabecera PE deliberadamente dañada. Este esquema, así como las coincidencias en algoritmos de cifrado y API empleadas, permitieron a IIJ vincular con alta confianza el cargador descubierto con la familia Mofu Loader, que se había usado anteriormente para entregar otros RAT y fue empleada por distintos grupos APT.
El propio Type 1 Backdoor resultó ser un troyano de acceso remoto, escrito en C++. En comparación con versiones previas, adquirió nuevos mecanismos de persistencia: en lugar de escribir claves de inicio automático en el registro, el malware copia un acceso directo en la carpeta de inicio de cada usuario para lograr su ejecución al iniciar sesión. Además, los investigadores detectaron una forma inusual de obtener la configuración: el backdoor puede interceptar paquetes de red especialmente formados en modo promiscuo y extraer de ellos las direcciones de los servidores C2 y los parámetros de comunicación. Esto permite no almacenar esos datos dentro del archivo y complica el análisis de la muestra.
En el código también se encontraron plantillas para obtener configuraciones a través de servicios en línea legítimos de Microsoft, aunque al momento del estudio esa funcionalidad ya no se utilizaba. Técnicas similares se habían observado anteriormente en malware relacionado con APT41 y ShadowPad.
El análisis de la estructura mostró que el backdoor está construido con un principio modular: algunas funciones fueron eliminadas y otras añadidas, incluidas capacidades de escritorio remoto y de tunelización de red. También cambió la lógica del registro de teclas y del monitoreo del portapapeles: ahora los datos se guardan haciéndose pasar por archivos del sistema y se cifran con un algoritmo propio.
En IIJ subrayan que las diferencias entre las versiones de Type 1 Backdoor no parecen una actualización habitual y pueden indicar una arquitectura flexible que permite ensamblar el malware para tareas concretas. Teniendo en cuenta que DRBControl pudo operar durante varios años, los especialistas instan a no bajar la guardia y a tener en cuenta nuevos indicadores de compromiso al proteger la infraestructura.
Las huellas digitales son tu debilidad, y los hackers lo saben