Descargué una VPN y obtuve una puerta trasera: cómo SlowStepper capturó decenas de miles de PC

El proveedor de VPN surcoreano IPany se ha visto envuelto en un gran ciberataque llevado a cabo por el grupo PlushDaemon, presuntamente vinculado a China. Los atacantes lograron infiltrarse en el sistema del desarrollador y modificaron el instalador de IPanyVPN, lo que provocó que los usuarios que descargaban e instalaban el programa desde el sitio oficial se infectaran con una puerta trasera llamada SlowStepper.

Según los datos de los investigadores de ESET, la brecha de seguridad comenzó al menos en noviembre de 2023 y continuó hasta mayo de 2024, aunque los plazos exactos aún no se han determinado. Los expertos subrayan que el ataque no solo se dirigió a usuarios en Corea del Sur, ya que los primeros signos de infección se detectaron en Japón.

Tras infiltrarse en el sistema del desarrollador de IPany, los hackers de PlushDaemon integraron un componente malicioso en el archivo ejecutable «IPanyVPNsetup.exe», que se descargaba junto con el archivo comprimido «IPanyVPNsetup.zip». Los usuarios, sin sospechar nada, instalaban tanto la aplicación VPN legítima como el código malicioso, que otorgaba a los atacantes acceso al sistema.

El malware se registraba en el registro de Windows para ejecutarse automáticamente cada vez que se iniciaba el equipo y utilizaba mecanismos de DLL Sideloading para ocultar su actividad.

Según los expertos de ESET, la versión utilizada de SlowStepper (designada como 0.2.10 Lite), aunque tiene funcionalidades simplificadas, sigue siendo bastante peligrosa y difícil de detectar. La tarea principal de esta puerta trasera es la recopilación de inteligencia y actividades de espionaje avanzadas, desde el robo de credenciales hasta la grabación de audio y video.

Además, SlowStepper tiene la capacidad de descargar y ejecutar software malicioso adicional, lo que proporciona a los ciberdelincuentes una gama aún más amplia de herramientas para atacar el sistema comprometido.

Hasta el momento, se ha confirmado la infección de al menos dos organizaciones en Corea del Sur: una empresa de semiconductores y una compañía especializada en desarrollo de software. Los nombres de las organizaciones no han sido revelados.

No obstante, dado que la versión maliciosa del instalador estuvo disponible públicamente en el sitio oficial de IPany, los investigadores no descartan que el ataque haya afectado a un número mucho mayor de usuarios y empresas en todo el mundo.

Los representantes de ESET notificaron a IPany sobre la brecha de seguridad, y la versión maliciosa fue eliminada del sitio. Sin embargo, los expertos destacan que los usuarios que instalaron el cliente VPN entre noviembre de 2023 y la primavera de 2024 ya podrían estar infectados.

Por ello, se recomienda encarecidamente a quienes descargaron el software desde el sitio oficial durante ese periodo que revisen sus sistemas en busca de SlowStepper y componentes relacionados, y, de ser necesario, reinstalen el cliente VPN y realicen una auditoría completa de seguridad, incluyendo el cambio de contraseñas y la verificación de datos críticos.

Aunque los ataques a la cadena de suministro son cada vez más comunes, el caso de IPany resulta especialmente alarmante, ya que el vector se centró en una herramienta maliciosa de múltiples componentes capaz no solo de realizar funciones de espionaje, sino también de gestionar completamente el sistema comprometido.

Los investigadores en ciberseguridad instan a las empresas a prestar más atención a la verificación y validación del software antes de que esté disponible para su descarga por parte de los usuarios finales, y a los propios usuarios a tomar precauciones y utilizar herramientas modernas de protección contra este tipo de amenazas.