Finge ser un archivo PDF y roba contraseñas: así «Confucio» enseña a los pakistaníes la higiene digital.

La agrupación Confucius continúa las operaciones de ciberespionaje contra países del sur de Asia. La nueva campaña está dirigida a organizaciones en Pakistán. El análisis mostró el uso de una herramienta hasta ahora no documentada en el arsenal del grupo: el backdoor AnonDoor basado en Python. La operación combina la carga en varias etapas de componentes maliciosos y el uso de programas legítimos para la ejecución encubierta de código.

El ataque comienza con el envío de un archivo ZIP. En su interior hay dos archivos disfrazados de documentos PDF. Uno de los archivos es un acceso directo LNK llamado GSR_Requirements.pdf; el segundo es un proyecto MSBuild oculto con el nombre Specification.pdf. Al abrir el acceso directo, el sistema ejecuta MSBuild.exe, que carga un archivo XML oculto y ejecuta código C embebido. El script se comunica con un servidor remoto y descarga componentes adicionales.

El código descargado crea tareas del programador de Windows y coloca archivos en el directorio C:\Windows\Tasks. Entre ellos se encuentra pythonw.exe — un intérprete legítimo de Python usado como cobertura. En la misma carpeta se descarga la biblioteca maliciosa python310.dll. Al iniciarse el intérprete, el sistema carga automáticamente la DLL que contiene el código malicioso. Paralelamente, los atacantes descargan un documento PDF señuelo para que el usuario piense que ha abierto un archivo normal.

La DLL actúa como la segunda etapa del ataque. Tras ejecutarse, el componente se conecta al servidor nexnxky.info y descarga un gran archivo de datos que contiene miles de archivos codificados en Base64. El volumen total supera los dos mil objetos. Este enfoque complica el análisis y ayuda a ocultar el verdadero módulo malicioso entre un gran número de archivos legítimos.

Del conjunto destaca el archivo python2_pycache_.dll. A pesar de la extensión DLL, en su interior hay un módulo de Python compilado en formato pyc. Es ese módulo el que contiene el backdoor AnonDoor. El programa crea un mutex del sistema para impedir ejecuciones repetidas y, a continuación, establece conexión con los servidores de control nexnxky.info y upxvion.info. Las solicitudes de red se camuflan como tráfico normal del navegador de Windows.

Tras la conexión, el backdoor solicita complementos adicionales. La arquitectura de AnonDoor es modular. El servidor de control puede descargar nuevos componentes y ampliar la funcionalidad del sistema infectado. Entre las capacidades detectadas están la ejecución de comandos del sistema, la captura de pantallas, la exploración y descarga de archivos, así como el robo de contraseñas desde los navegadores Mozilla Firefox y Microsoft Edge.

Módulos separados recopilan información sobre el sistema de la víctima. En el informe se envían la versión de Windows, el nombre del equipo, el nombre de usuario, la dirección IP local y externa, así como datos del país. Otro módulo analiza la estructura de los discos y transmite información sobre las unidades al servidor de control.

El análisis de la infraestructura del ataque y de la estructura de los cargadores indica una conexión de la campaña con Confucius. Los especialistas hallaron rasgos característicos de operaciones anteriores del grupo: el uso de archivos LNK en la etapa inicial, dominios de nivel superior .info para descargar componentes y una estructura de direcciones de servidores similar. Un factor adicional fue el enfoque de la operación en organizaciones pakistaníes, lo que se corresponde con los objetivos anteriores de la agrupación.

La campaña observada muestra la evolución de las herramientas de Confucius. El paso hacia un backdoor en Python y una arquitectura modular apunta a una intención de aumentar la sigilosidad y la flexibilidad de los ataques. Según los especialistas, herramientas similares pueden emplearse activamente en futuras operaciones contra organizaciones de la región.