“Negro contra negro”: cómo la puerta trasera Glutton caza cibervillanos

Winnti APT41 Glutton HackBrowserData XLab QAX PHP puerta trasera China EE.UU.
“Negro contra negro”: cómo la puerta trasera Glutton caza cibervillanos
Winnti APT41 Glutton HackBrowserData XLab QAX PHP puerta trasera China EE.UU.

Un nuevo código malicioso ha convertido las armas de los piratas informáticos en su principal debilidad.

image

El grupo de hackers chino Winnti, también conocido como APT41, utiliza un nuevo backdoor en PHP llamado «Glutton» para atacar organizaciones en China y Estados Unidos, así como a otros ciberdelincuentes. El descubrimiento de este programa malicioso pertenece al laboratorio de investigación XLab de la empresa china QAX.

Según datos de XLab, Glutton fue detectado por primera vez en abril de 2024, aunque las evidencias de su actividad datan de diciembre de 2023. Aunque el backdoor posee amplias capacidades, los investigadores señalan debilidades en su ocultación y cifrado, lo que indica una etapa temprana de desarrollo.

Glutton es un backdoor ELF modular que se adapta de forma flexible a los objetivos de los ataques. Sus componentes clave incluyen módulos para carga, instalación, ofuscación y operación del backdoor. Esto permite a los hackers de Winnti realizar ataques personalizados con un mínimo rastro en el sistema.

El funcionamiento del backdoor se basa en procesos PHP, como PHP-FPM, lo que permite ejecutar código malicioso sin crear archivos en el disco. Glutton también modifica archivos del sistema para mantener su presencia entre reinicios y apunta a frameworks PHP populares, como ThinkPHP, Yii, Laravel y Dedecms.

Es interesante que Winnti utilice Glutton no solo para atacar empresas, sino también para hackear sistemas de otros hackers. Por ejemplo, el código malicioso se inserta en programas vendidos en foros de ciberdelincuentes, como Timibbs. Estos programas se disfrazan como plataformas de videojuegos, intercambios de criptomonedas o sistemas de generación de tráfico falso.

Después de la infección, Glutton utiliza la herramienta HackBrowserData para robar datos de navegadores: contraseñas, cookies, tarjetas de crédito y otra información confidencial. XLab considera que este enfoque forma parte de una estrategia de «negro contra negro», destinada a aprovechar las vulnerabilidades de otros hackers.

Aunque la actividad de Glutton lleva más de un año, el vector inicial de acceso sigue siendo desconocido. Los investigadores compartieron indicadores de compromiso para ayudar a las organizaciones a protegerse contra esta amenaza.

Las huellas digitales son tu debilidad, y los hackers lo saben

¡Suscríbete y descubre cómo borrarlas!

Noticias sobre el tema

Mil millones de dólares contra Huawei y ZTE: Estados Unidos está dispuesto a todo para expulsar a China

504 cúbits en un solo chip: Xiaohong lleva a China a la vanguardia de las tecnologías cuánticas

¿Cómo “secuestrar” cualquier red neuronal en 24 horas? TPUXtract revela todos los secretos

3 mil millones de dólares para la seguridad nacional: ¿puede Estados Unidos proteger sus comunicaciones?

Se acerca la IA: los eslóganes publicitarios en San Francisco han emocionado al público

Detrás de escena de la telemedicina: un hack a gran escala que asustó a todo Estados Unidos

Proyecto secreto Guowang: China desafía a Starlink en órbita

El galio de la discordia: China aprieta el cuello de la industria mundial de vehículos eléctricos

Microrobots de hidrogel: cómo tratan tumores con precisión quirúrgica