Un '1' por una 'l' y dos años en silencio: malware chino logró eludir a los antivirus
Descubren malware en Linux que roba credenciales de los servicios en la nube de Amazon y Google
A veces el malware más peligroso parece un archivo ordinario que nadie notó. Eso fue exactamente lo que ocurrió con una nueva muestra vinculada al grupo APT41: el archivo no provocó ninguna detección por parte de los antivirus y permaneció en la red más de dos años.
Todo comenzó con el hallazgo del especialista que usa el seudónimo @TuringAlex. Encontró un archivo ejecutable para Linux de aproximadamente 2,7 MB. A primera vista era otro troyano más entre miles. Pero al analizarlo resultó ser una herramienta avanzada que roba credenciales de servicios en la nube y opera de forma muy sigilosa.
El archivo es un binario ELF para la arquitectura x86_64. El código fue ofuscado intencionadamente hasta el límite, por lo que un análisis habitual apenas aporta información. La protección no es un empaquetado estándar, sino un método más complejo: una transformación de instrucciones que exige una herramienta separada para descifrarlo.
El malware se conecta a tres dominios de mando y control que se hacen pasar por empresas tecnológicas chinas. Por ejemplo, uno de los dominios sustituye la letra "l" por el número "1", por lo que la dirección parece casi legítima. Los tres dominios apuntan a la misma dirección IP en la nube de Alibaba en Singapur. Ese servidor no apareció en ninguna base pública ni en escaneos de internet durante más de dos años.
El servidor de mando se comporta de forma inusual. No responde a comprobaciones habituales, escaneos de puertos ni intentos de conexión. La respuesta llega solo tras un 'saludo' correcto desde el equipo infectado. En los demás casos el servidor permanece completamente 'silencioso'. Para la transmisión de comandos se utiliza, entre otros, el puerto 25, que normalmente se emplea para correo electrónico. Esta elección ayuda a ocultar el tráfico, ya que muchos sistemas de seguridad no lo inspeccionan detenidamente.
La principal tarea del programa es recopilar datos de la infraestructura en la nube. Accede a la dirección especial 169.254.169.254, usada dentro de las nubes para proporcionar información de servicio. A través de ese mecanismo se pueden obtener credenciales y tokens de acceso. El programa puede extraer claves y tokens de Amazon Web Services, Google Cloud, Microsoft Azure y Alibaba Cloud. Si el atacante obtiene acceso a esos datos, la intrusión puede extenderse rápidamente más allá de un solo servidor y abarcar toda la nube.
Tras la intrusión, el malware intenta persistir y propagarse. Para ello envía paquetes UDP a la dirección de difusión dentro de la red para localizar otros dispositivos. Después, los atacantes pueden usar las credenciales robadas para moverse lateralmente por la infraestructura.
La vinculación con APT41 se confirma por varios factores. Diferentes plataformas de análisis atribuyen el archivo a la familia Winnti, y el código coincide con herramientas anteriores de ese grupo utilizadas desde 2020. Entre ellas están PWNLNX, RedXOR, AzazelFork, SprySOCKS y Melofee. La nueva muestra continúa la misma línea de desarrollo. El grupo APT41, también conocido como Winnti, Wicked Panda y Double Dragon, está vinculado al Ministerio de Seguridad del Estado de China. El grupo es conocido por combinar ciberespionaje con ataques de motivación financiera.
Como resultado no es simplemente otra herramienta maliciosa para Linux, sino una herramienta diseñada para trabajar en la nube y robar claves de acceso a toda la infraestructura. El mínimo rastro, la infraestructura duradera y el camuflaje puntual como servicios legítimos demuestran el alto nivel de preparación de los atacantes.