Espías usan archivos RAR y agujeros en Exchange de Microsoft para saquear durante años la defensa y el sector público
Una nota para quienes creen que un servidor olvidado no sirve para nadie.
Años después del descubrimiento de vulnerabilidades en Microsoft Exchange, los servidores antiguos siguen siendo una vía cómoda para el ciberespionaje. Una nueva campaña maliciosa vinculada a intereses de China mostró que incluso fallos corregidos hace tiempo continúan ayudando a los atacantes a infiltrarse en redes de organismos gubernamentales, contratistas de defensa y en infraestructura crítica.
Los especialistas de TrendAI Research describieron la actividad del grupo, al que siguen temporalmente como SHADOW-EARTH-053. Según el equipo, los ataques comenzaron al menos en diciembre de 2024 y afectaron a organizaciones en el sur, el este y el sudeste de Asia, así como a un país de la OTAN. Entre los objetivos figuran Pakistán, Tailandia, Malasia, India, Birmania, Sri Lanka, Taiwán y Polonia.
Los atacantes explotaron vulnerabilidades sin corregir en Microsoft Exchange y en Internet Information Services. Entre las cadenas de explotación empleadas se menciona ProxyLogon, asociada con CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 y CVE-2021-27065. Tras comprometer los servidores, el grupo se asentaba mediante web shells, incluidos GODZILLA, y luego desplegaba la plataforma maliciosa ShadowPad.
En los ataques se empleó la técnica de carga mediante sustitución de DLL en archivos legítimos firmados. En algunos casos los especialistas registraron el uso de un componente renombrado del Toshiba Bluetooth Stack, que extraía la carga útil del registro de Windows. Para mantener el acceso se creaba una tarea programada que se ejecutaba cada cinco minutos con privilegios elevados.
Tras la intrusión, los operadores de SHADOW-EARTH-053 examinaban Active Directory y Exchange, buscando administradores de dominio, controladores de dominio y servidores de correo internos. Para recopilar credenciales se utilizaron Mimikatz, Evil-CreateDump y una herramienta similar a la utilizada en ataques DCSync. En un caso los atacantes crearon un archivo RAR protegido con contraseña que contenía el archivo PST de correo del directivo de la empresa atacada.
Para la comunicación encubierta y el movimiento lateral dentro de las redes, el grupo desplegó IOX, GOST, Wstunnel y otras herramientas de tunelización. Parte de los archivos se alojaban en C:/Users/Public y C:/ProgramData, y las utilidades del sistema de Windows se camuflaban como archivos aleatorios con la extensión.log para eludir las protecciones basadas en nombres de procesos.
TrendAI Research también encontró solapamientos con otro grupo temporal, SHADOW-EARTH-054. Casi la mitad de los objetivos de SHADOW-EARTH-053 ya habían sufrido actividad de SHADOW-EARTH-054, y ambos grupos emplearon las mismas puertas de entrada y parte de las mismas herramientas. Los autores del informe consideran más probable no un mando único, sino el uso independiente de las mismas vulnerabilidades en entornos ya vulnerables.
La naturaleza de los objetivos apunta al ciberespionaje y al robo de información valiosa. El riesgo es especialmente alto para las organizaciones con Exchange e IIS accesibles desde Internet, donde no se han aplicado actualizaciones de seguridad en mucho tiempo. La campaña demuestra que servidores olvidados pueden seguir siendo durante meses una base operativa para ataques contra instituciones estatales y estructuras de defensa.