El “grande y terrible” LightSpy finalmente llegó a Windows
El énfasis en la grabación de audio es lo que distingue a la nueva operación maliciosa APT41.
El grupo APT chino APT41, también conocido como Barium, Brass Typhoon, Bronze Atlas, Wicked Panda y Winnti, ha ampliado sus herramientas de vigilancia con el framework de Windows DeepData, según se informa en el nuevo informe de BlackBerry.
Anteriormente, el grupo utilizaba el malware LightSpy, orientado al robo de datos de dispositivos iOS. Los primeros ataques se detectaron ya en 2020 contra usuarios de iPhone en Hong Kong. En los años siguientes, las capacidades de LightSpy se expandieron significativamente: aparecieron versiones para Android y macOS, así como módulos destructivos.
Ahora APT41 ha pasado a objetivos en Windows. El nuevo framework DeepData incluye 12 plugins dirigidos a la recopilación de datos y espionaje. La infraestructura de mando y control (C2) de esta campaña se caracteriza por un alto grado de sofisticación.
DeepData está dirigido a interceptar información de aplicaciones de comunicación como WhatsApp, Telegram, Signal, WeChat, Outlook, DingDing y Feishu. Además, recopila datos de navegadores, gestores de contraseñas y sistemas de red, y tiene la capacidad de grabar audio desde el micrófono.
Las grabaciones de audio se realizan utilizando la biblioteca FFmpeg y se guardan en formato “.acc” para su posterior envío al servidor de los atacantes. Los módulos de DeepData se distribuyen a través de servidores C2 en forma de archivos ZIP y están estructurados de manera similar a LightSpy: un módulo principal y varios plugins especializados.
Según BlackBerry, el desarrollo de DeepData comenzó aproximadamente a mediados de 2022, y la mayoría de los plugins fueron compilados durante 2023. La parte clave del framework se completó en marzo de 2024, y las funciones de keylogger se añadieron en octubre.
Los analistas creen que APT41 utiliza DeepData para ataques a objetivos en el sudeste asiático, incluyendo periodistas, políticos y activistas. El principal objetivo del grupo es la recopilación de inteligencia a largo plazo con un enfoque en la discreción y la persistencia en el acceso a los dispositivos.
Los expertos recomiendan a los usuarios reforzar la seguridad de sus dispositivos para evitar infecciones. Para ello, es fundamental actualizar regularmente los sistemas operativos y aplicaciones, usar programas antivirus y cortafuegos confiables, así como evitar la descarga de archivos de fuentes no verificadas. Se debe prestar especial atención a la seguridad de los mensajeros y navegadores: usar contraseñas seguras y habilitar la autenticación multifactor.
¿Estás cansado de que Internet sepa todo sobre ti?