«No nos confundan con los rusos»: hackers chinos dejaron claro su origen dentro del malware
La situación internacional en Venezuela sirvió de pantalla perfecta para los ataques.
Una campaña dirigida de ciberespionaje contra entidades gubernamentales de Estados Unidos, fue detectada por especialistas del equipo Acronis Threat Research Unit. La actividad maliciosa se llevó a cabo mediante un archivo ZIP que contenía un archivo ejecutable y una biblioteca DLL oculta. La extracción del archivo inició la ejecución de la DLL, que funcionaba como un acceso remoto principal llamado LOTUSLITE.
La propagación de la herramienta maliciosa se produjo a través de un archivo con un nombre político relacionado con la situación en Venezuela. Esto coincide con la táctica habitual del grupo cibernético chino Mustang Panda, centrada en asuntos internacionales actuales. La infección comenzaba al ejecutar un archivo ejecutable suplantado que se hacía pasar por un software legítimo, lo que provocaba la carga desapercibida de la biblioteca maliciosa.
El componente descargado era una DLL no estándar diseñada para recopilar información, mantener una presencia persistente en el sistema y ejecutar comandos de los atacantes. El programa permite ejecutar comandos del sistema, crear y eliminar archivos, y también forma paquetes de red utilizando un identificador único. La transmisión de datos se realizaba mediante solicitudes HTTP con cabeceras falsificadas que imitaban tráfico de servicios legítimos.
El componente mantenía su persistencia en el dispositivo infectado creando un directorio separado e introduciendo una entrada en el registro para el inicio automático al iniciar sesión del usuario en el sistema. El nombre del ejecutable y los parámetros de arranque fueron modificados para enmascararlo como un software inocuo.
Durante el análisis de la biblioteca maliciosa, los especialistas hallaron mensajes incrustados dejados por el desarrollador. En uno de ellos el autor enfatizaba que no tenía relación con Rusia, usando una frase del tipo «no soy ruso». En otro mensaje, por el contrario, se enfatizaba una identidad china. Inserciones provocativas similares ya se habían observado en campañas anteriores de Mustang Panda.
La comunicación con el servidor de comando se realizaba a través de una dirección IP vinculada a un proveedor estadounidense que ofrecía servicios de DNS dinámico. Los dispositivos de los sistemas infectados se comunicaban con ese servidor mediante tráfico HTTPS cifrado, lo que dificultaba la detección de la amenaza a nivel de monitoreo de red.
Por el conjunto de indicadores de comportamiento, métodos de entrega, estructura de los componentes y la infraestructura asociada, los especialistas relacionan esta actividad con Mustang Panda. Anteriormente el grupo ya había empleado enfoques similares, incluyendo la carga de DLL a través de programas legítimos, el uso de temas con carga política y la reutilización de elementos de la infraestructura. A pesar del modesto nivel técnico del código desplegado, la metodología garantiza una alta fiabilidad de ejecución y una afectación precisa de los objetivos.
La campaña sigue siendo de alcance limitado, pero está dirigida exclusivamente a estructuras relacionadas con la política y la administración en Estados Unidos. Esto la hace potencialmente significativa desde el punto de vista de los riesgos estratégicos. La actividad maliciosa fue detectada y bloqueada con éxito por las herramientas de protección de Acronis.