Ciberataques chinos a militares del Sudeste Asiático con AppleChris y MemFun
Publicado el
Ciberataques dirigidos a fuerzas militares del Sudeste Asiático
Un grupo de hackers presuntamente vinculado a China ha llevado a cabo una serie de ataques contra organizaciones militares del Sudeste Asiático. Esta campaña de ciberespionaje se enmarca dentro de un esfuerzo estatal que se remonta al menos a 2020, según los investigadores de Palo Alto Networks.
Bajo el nombre de CL-STA-1087, donde CL hace referencia a cluster y STA a motivación respaldada por el estado, los expertos han observado que los atacantes han mostrado una notable paciencia operativa y un enfoque en la recolección de inteligencia altamente específica, en lugar de robar datos de forma masiva.
Los investigadores Lior Rochberger y Yoav Zemah han señalado que el grupo de ataque ha estado buscando activamente archivos relacionados con capacidades militares, estructuras organizativas y esfuerzos de colaboración con fuerzas armadas occidentales. Estas operaciones presentan características típicas de las amenazas persistentes avanzadas (APT), como métodos de entrega cuidadosamente elaborados, estrategias de evasión de defensas y una infraestructura operativa estable.
Herramientas utilizadas
Los actores de la amenaza han empleado herramientas maliciosas, entre ellas AppleChris y MemFun, así como un recolector de credenciales denominado Getpass. La detección de estas intrusiones se realizó tras identificar ejecuciones sospechosas de PowerShell, las cuales permitieron que un script entrara en un estado de inactividad durante seis horas antes de establecer conexiones inversas con un servidor de comando y control (C2) controlado por los atacantes.
El vector inicial de acceso en estos ataques sigue siendo desconocido. La secuencia de infección incluye el despliegue de AppleChris, cuyas diversas versiones se distribuyen a través de los puntos de acceso objetivos, manteniendo la persistencia y evadiendo detecciones basadas en firmas. Los atacantes también han sido observados buscando registros de reuniones oficiales y evaluaciones detalladas de capacidades operativas.
Intereses específicos de los atacantes
Los investigadores han destacado que los atacantes han mostrado un interés particular en archivos relacionados con la estructura organizativa y la estrategia militar, incluyendo sistemas de comando, control, comunicaciones, ordenadores e inteligencia (C4I). Tanto AppleChris como MemFun están diseñados para acceder a una cuenta compartida de Pastebin, la cual actúa como un resolutor de caídas para obtener la dirección real del C2 almacenada en formato Base64.
Una de las versiones de AppleChris utiliza Dropbox para extraer la información del C2, mientras que la aproximación basada en Pastebin se usa como opción secundaria. Los datos de Pastebin se remontan a septiembre de 2020.
Técnicas de evasión y operaciones de malware
AppleChris, lanzado mediante DLL hijacking, inicia contacto con el servidor C2 para recibir comandos que le permiten realizar enumeraciones de unidades, listar directorios, cargar, descargar y eliminar archivos, ejecutar shells remotos y crear procesos silenciosos. La variante de tunneler de este malware representa una evolución de su predecesor, utilizando únicamente Pastebin para obtener la dirección C2 y presentando capacidades avanzadas de proxy de red.
Para eludir sistemas de seguridad automatizados, algunas variantes de malware emplean tácticas de evasión de sandbox durante la ejecución. Estas variantes desencadenan ejecuciones retrasadas a través de temporizadores de inactividad de 30 segundos (EXE) y 120 segundos (DLL), lo que les permite eludir las ventanas de monitoreo típicas de los sandboxes automatizados.
MemFun es lanzado mediante una cadena de múltiples etapas: un cargador inicial inyecta código shell responsable de lanzar un downloader en memoria, cuyo principal objetivo es recuperar la configuración del C2 desde Pastebin, comunicarse con el servidor C2 y obtener una DLL que activa la ejecución del backdoor. Dado que la DLL se recupera del C2 en tiempo de ejecución, los atacantes pueden entregar fácilmente otros payloads sin necesidad de realizar cambios.
El funcionamiento de MemFun comienza con un dropper que ejecuta verificaciones antiforrenses antes de alterar su propio sello de tiempo de creación para coincidir con el del directorio del sistema Windows. Posteriormente, inyecta la carga útil principal en la memoria de un proceso suspendido asociado con dllhost.exe utilizando una técnica conocida como process hollowing. Esto permite que el malware opere bajo la apariencia de un proceso legítimo de Windows, evitando así dejar artefactos adicionales en el disco.
También se ha utilizado una versión personalizada de Mimikatz conocida como Getpass, que eleva privilegios y busca extraer contraseñas en texto plano, hashes de NTLM y datos de autenticación directamente desde la memoria del proceso lsass.exe.
Los expertos de Unit 42 concluyeron que los atacantes detrás de este cluster han demostrado una notable paciencia operativa y conciencia de seguridad, manteniendo un acceso inactivo durante meses mientras se centraban en la recolección precisa de inteligencia y en la implementación de medidas de seguridad robustas para garantizar la longevidad de la campaña.