"El aliento del dragón" bajo el capó de tu sistema operativo: tan solo un archivo deja a Windows vulnerable
Investigamos cómo los hackers lograron burlar el sistema de verificación de certificados
El grupo chino Dragon Breath, también conocido como APT-Q-27, podría haber obtenido una nueva herramienta para atacar redes corporativas. Los autores del informe Ransom-ISAC descubrieron un controlador vulnerable, dragoncore_k.sys, con una firma válida de Microsoft WHQL, que permite a los atacantes desactivar los mecanismos de protección de Windows y, en la práctica, «cegar» a los antivirus y a los sistemas EDR.
Los analistas relacionan el hallazgo no solo con la infraestructura maliciosa, sino también con una red de empresas pantalla que, presuntamente, ayudan a los grupos cibernéticos chinos a blanquear el software malicioso.
Los especialistas determinaron que el controlador fue firmado por la empresa Zhengzhou 403 Network Technology Co., Ltd. Debido a un error en el manejo de solicitudes IOCTL, el controlador permite terminar cualquier proceso al nivel del kernel de Windows, incluidos servicios del sistema protegidos y productos de seguridad. Para el ataque bastan los permisos de administrador local. Tras cargar el controlador, los atacantes pueden desactivar Microsoft Defender, CrowdStrike Falcon, SentinelOne y otras soluciones sin alertas por parte del sistema.
Los autores del estudio consideran que dragoncore_k.sys fue creado precisamente como una herramienta ofensiva. Además de la función de terminar procesos, el código contiene mecanismos para evadir entornos aislados, limitar la frecuencia de acciones y suplantar parámetros de la línea de comandos directamente en la memoria de los procesos. Ese enfoque permite ocultar la actividad real del malware frente a los sistemas de monitoreo.
Los especialistas prestaron especial atención a la empresa Zhengzhou 403. Formalmente la organización está registrada en Zhengzhou, China; sin embargo, en la dirección indicada se encontró un edificio residencial con apartamentos tipo hotel y sin indicios de actividad de una empresa de TI. El certificado Extended Validation usado para firmar el controlador fue posteriormente revocado por la entidad certificadora GlobalSign debido a abusos.
La investigación también encontró un vínculo entre Zhengzhou 403 y la infraestructura de Dragon Breath. Con el mismo certificado se firmaron archivos maliciosos que se hacían pasar por instaladores de LetsVPN y Telegram Desktop. Todas las muestras se vinculaban a un mismo servidor de comando y control de Cobalt Strike — oss-aws.1nb.xyz. Los analistas señalan que un enfoque similar se empleó anteriormente en la campaña RONINGLOADER.
Suscitó además interés la figura del fundador de Zhengzhou 403, Zhang Lie. Los autores del informe hallaron una posible conexión con Wuhan Xiaoruizhi Science and Technology — una entidad que las autoridades estadounidenses vinculaban anteriormente con el grupo APT31. No existen pruebas directas de la participación de Zhang Lie en operaciones de APT31 por ahora; sin embargo, los especialistas consideran la coincidencia demasiado inusual como para ignorarla.
Microsoft ya ha sido notificada del problema. Los investigadores buscan que dragoncore_k.sys se incluya en la lista de controladores vulnerables de Windows, para bloquear la carga del archivo en sistemas protegidos.