Hackers chinos retoman el uso de torrents, pero no para películas sino para descargar datos de proveedores.
Expertos detectan tres nuevas amenazas informáticas del grupo UAT-9244
Un grupo de hackers chino desplegó una nueva ola de ataques contra empresas de telecomunicaciones en Sudamérica. Los especialistas de Cisco Talos descubrieron de inmediato tres nuevas herramientas maliciosas que los atacantes usan para acceder a las redes de los operadores, infectar equipos y convertir dispositivos en nodos para ataques posteriores.
Cisco Talos rastrea la actividad del grupo bajo el nombre UAT-9244. Según los especialistas, la agrupación está estrechamente vinculada con operaciones chinas de espionaje cibernético y tiene intersecciones directas con Famous Sparrow. Desde 2024 UAT-9244 ataca infraestructura crítica de comunicaciones en países de Sudamérica. Las víctimas incluyen estaciones de trabajo con Windows, servidores con Linux y dispositivos de red en el perímetro de la infraestructura.
En la campaña los atacantes emplean tres programas maliciosos. El primero se llama TernDoor. El segundo es PeerTime y el tercero BruteEntry. Cada herramienta cumple una función propia: persistencia en el sistema, control remoto de los equipos infectados y fuerza bruta masiva contra contraseñas de servicios externos.
El elemento principal de los ataques es el backdoor TernDoor. El programa es una nueva modificación de la herramienta maliciosa CrowDoor, que antes usaron los grupos chinos Famous Sparrow y Earth Estries. CrowDoor, a su vez, deriva de otra herramienta maliciosa llamada SparrowDoor. Los especialistas también observaron herramientas similares en operaciones de Tropic Trooper, lo que apunta a vínculos estrechos entre estos grupos.
Para ejecutar código malicioso los atacantes usan la técnica de suplantación de bibliotecas. El sistema lanza el archivo legítimo wsprint.exe, que carga la biblioteca maliciosa BugSplatRc64.dll. Luego esa biblioteca lee el archivo WSPrint.dll, descifra su contenido y ejecuta la carga útil de TernDoor directamente en la memoria del equipo.
TernDoor proporciona control remoto total sobre el sistema infectado. El programa malicioso recopila información del equipo, el nombre de usuario y parámetros de red, ejecuta comandos, inicia procesos y lee archivos. El backdoor incluye un controlador de Windows cifrado. El controlador puede detener, reanudar y terminar procesos, lo que ayuda a ocultar la actividad del código malicioso.
Para mantenerse en el sistema los atacantes crean una tarea del programador de Windows llamada WSPrint, que ejecuta el malware al iniciar el sistema. Adicionalmente, el código malicioso modifica claves del registro para ocultar la tarea creada. A veces el programa añade su propia clave de inicio automático en el registro, de modo que se ejecuta cuando el usuario inicia sesión.
Los comandos de TernDoor provienen de un servidor de mando y control. El malware se conecta a una dirección IP determinada y usa parámetros de conexión incrustados en la configuración. Entre ellos figuran la dirección del servidor de control, el puerto, el número de intentos de conexión y la cadena User-Agent.
Además del backdoor para Windows, UAT-9244 emplea otra herramienta: PeerTime. El programa funciona en sistemas Linux y se distribuye como archivo ELF compilado para distintas arquitecturas de procesador. Este enfoque permite infectar también dispositivos de red y sistemas empotrados.
PeerTime se instala mediante un script de shell que descarga un cargador y un módulo adicional. El malware comprueba la presencia de Docker en el equipo y, si corresponde, ejecuta código dentro de un contenedor. En el archivo los especialistas encontraron cadenas de depuración en chino, lo que confirma el origen de la herramienta.
Tras su ejecución, PeerTime utiliza el protocolo BitTorrent para comunicarse con nodos de control y con otros dispositivos infectados. A través de la red entre pares, el programa malicioso recibe comandos, descarga archivos y los ejecuta en el equipo comprometido. Actualmente los especialistas observan dos versiones del programa: una escrita en C/C++ y una más reciente en Rust. En algunos sistemas el malware se disfraza como procesos normales para evitar la detección.
La tercera herramienta, BruteEntry, convierte los dispositivos infectados en nodos proxy para el empleo masivo de fuerza bruta contra contraseñas. Esos nodos se conocen como nodos de retransmisión operativos. Normalmente el malware se instala en dispositivos de red situados en el perímetro de la infraestructura.
Tras la infección, BruteEntry se conecta al servidor de control y reporta la dirección IP y el nombre del sistema. El servidor envía una lista de tareas: un listado de direcciones que deben atacarse. A continuación, el malware intenta adivinar contraseñas de servicios SSH, servidores de base de datos Postgres y la interfaz web de Apache Tomcat.
Si el intento de fuerza bruta tiene éxito, el dispositivo infectado envía el resultado al servidor de control. De este modo, la red de equipos comprometidos amplía gradualmente el acceso de los atacantes a nuevos sistemas.
Los especialistas de Cisco Talos señalan que UAT-9244 está ampliando activamente su infraestructura y continúa desarrollando sus herramientas maliciosas. No se ha podido establecer aún un vínculo directo entre este grupo y otra operación china denominada Salt Typhoon, aunque ambas campañas se dirigen a empresas de telecomunicaciones.