De los 90 a hoy: hackers chinos usan JScript obsoleto para vulnerar agencias gubernamentales modernas — y funciona
El acceso a datos de importancia estatal fue mucho más directo de lo que creían los analistas.
Los especialistas de Trend Micro identificaron el uso activo del marco JavaScript malicioso PeckBirdy, empleado por grupos vinculados a estructuras estatales chinas. Esta herramienta se ha utilizado al menos desde 2023 y sirve en ataques contra diversos objetivos, incluidos sitios de juegos de azar en China, organismos gubernamentales y organizaciones privadas en países de Asia.
PeckBirdy se distingue por su flexibilidad y por su capacidad de operar en distintos entornos de ejecución gracias al uso del lenguaje JScript, obsoleto pero versátil. Esta implementación permite ejecutar el marco mediante herramientas integradas de Windows, eludiendo los mecanismos de protección habituales. Los especialistas detectaron por primera vez a PeckBirdy tras hallar scripts maliciosos en sitios chinos relacionados con el juego. Esos scripts descargaban el código malicioso principal, que luego se utilizó para la entrega remota de otros componentes JavaScript.
Uno de los objetivos de estos ataques es la difusión de páginas falsas de actualización para el navegador Google Chrome. A las víctimas se les sugiere descargar archivos de actualización falsos, lo que conduce a la instalación de software malicioso. Esta campaña se sigue con el nombre en clave SHADOW-VOID-044. En su marco se detectaron scripts adicionales destinados a explotar vulnerabilidades del navegador, establecer conexiones inversas por TCP, desplegar ventanas maliciosas mediante ingeniería social y cargar puertas traseras a través de Electron JS.
La segunda campaña activa que utiliza PeckBirdy comenzó en el verano de 2024 y fue denominada SHADOW-EARTH-045. Durante esta actividad, los atacantes insertaron enlaces a scripts maliciosos directamente en páginas de sitios gubernamentales asiáticos. En un caso se comprometió la página de autenticación de un recurso gubernamental; en otro, se usó MSHTA para ejecutar el marco como un canal de acceso remoto dentro de una organización privada. Además, los atacantes emplearon un ejecutable en la plataforma .NET para ejecutar scripts mediante ScriptControl.
Una característica de PeckBirdy es el soporte de múltiples métodos de ejecución —desde navegadores y MSHTA hasta Node.js y entornos ASP clásicos. El servidor del marco en el lado del atacante permite entregar al cliente el script apropiado según el entorno. Para ello se emplea un identificador único de la campaña y el ID de la víctima. Tras establecer la conexión, el marco puede cargar una segunda fase del ataque, por ejemplo, un módulo para robar cookies.
El análisis de la infraestructura vinculada a estas campañas permitió identificar dos módulos complejos —HOLODONUT y MKDOOR. El primero es una puerta trasera .NET capaz de cargar y eliminar módulos complementarios, y el segundo es una herramienta multifunción capaz de realizar las mismas tareas. También se estableció relación de estos ataques con otros componentes maliciosos y grupos conocidos. En uno de los servidores asociados con SHADOW-VOID-044 se halló el malware GRAYRABBIT, empleado anteriormente por el grupo UNC3569. Otras pistas conducen a las estructuras TheWizards y Earth Lusca, también conocida como Aquatic Panda.
Los componentes de PeckBirdy se adaptan con facilidad y pasan desapercibidos para la mayoría de las soluciones de defensa debido al uso de código generado dinámicamente y a la ausencia de archivos persistentes. Esa arquitectura dificulta especialmente la detección de marcos JavaScript de este tipo.