Incluso los hackers son perezosos: los desarrolladores de GoGra copiaron código ajeno con sus errores. ¿Qué consecuencias tuvo?
Cómo una casualidad permitió destapar una red de espionaje que llevaba años operando.
El grupo Harvester volvió a hacerse notar — esta vez con una herramienta que casi no deja rastro en los sistemas de protección habituales. Los especialistas en ciberseguridad detectaron una nueva versión del backdoor GoGra para Linux, que se disfraza de tráfico normal y se oculta detrás de servicios legítimos de Microsoft.
El equipo de Symantec, junto con Carbon Black Threat Hunter vinculó el hallazgo con una campaña de espionaje anterior de Harvester contra Windows. La similitud del código fue tan evidente que no quedó duda sobre el origen común. El grupo, activo al menos desde 2021 y, presuntamente, vinculado a entidades estatales, amplía de forma constante su conjunto de herramientas y ahora opera con seguridad en varias plataformas a la vez.
Los ataques, según indicios indirectos, están dirigidos a India y Afganistán. Las muestras de archivos maliciosos se cargaron por primera vez en VirusTotal precisamente desde esos países. Otra señal fue la localización de los señuelos: los atacantes adaptan los temas de los documentos a la región. Entre ellos había archivos con nombres como «Zomato Pizza», que remiten al popular servicio indio de entrega de comidas, y también «umrah.pdf», relacionado con la peregrinación islámica.
El acceso inicial se basa en ingeniería social. Los atacantes envían archivos que parecen documentos, pero en realidad ejecutan código malicioso. Para enmascararlos usan un truco sencillo: añaden la extensión «.pdf» con un espacio antes. Como resultado, el sistema ve un archivo ELF ejecutable y el usuario, supuestamente, un documento. Tras la ejecución, el dropper escrito en Go despliega el módulo principal de aproximadamente 5,9 MB y se fija en el sistema mediante systemd y el inicio automático XDG, haciéndose pasar por el monitor del sistema Conky.
La característica principal de la nueva versión es un canal de mando a través de Microsoft Graph API y las cuentas de correo Outlook. El malware utiliza credenciales de Azure AD preconfiguradas para obtener tokens OAuth2 y consulta periódicamente una carpeta en el correo, por ejemplo «Zomato Pizza».
Los comandos llegan en correos con el asunto que comienza por «Input», luego se descifran y se ejecutan mediante bash. Los resultados se cifran y se envían de vuelta por correo con el asunto «Output», tras lo cual el mensaje original se elimina para ocultar las huellas.
El análisis mostró que las versiones de GoGra para Linux y Windows usan una lógica prácticamente idéntica. Incluso coinciden errores ortográficos en el código y los nombres de funciones, lo que apunta a un mismo desarrollador. Solo difieren detalles de implementación: la arquitectura, los intervalos de comunicación con el servidor y los nombres de las carpetas de correo.
La aparición de la variante para Linux confirma que Harvester amplía sus capacidades y busca abarcar tantos sistemas como sea posible. El interés por el sur de Asia se mantiene, y los métodos son cada vez menos detectables por los medios de protección tradicionales.