Hallaron nuevo malware, descubierto por Symantec Thereat Hunter, que habría sido usado en una amplia campaña de espionaje contra objetivos gubernamentales e infraestructura crítica
Investigadores descubrieron un nuevo malware al que denominaron Backdoor.Daxin y han trabajado con la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) para colaborar con varios gobiernos extranjeros que son objetivo de Daxin y así ayudarles a detectar y remediar este malware.
Daxin permite a los atacantes realizar diversas operaciones de comunicación y recopilación de datos en una computadora infectada. Symantec indica que existe pruebas fehacientes de que ha sido usado tan recientemente como en noviembre 2021 por atacantes vinculados a China. Sumado a ello, se encontró otras herramientas asociadas a espías chinos en algunas de las máquinas donde se desplegó Daxin.
Los investigadores afirmaron que, sin duda alguna, Backdoor.Daxin es el malware más avanzado que han visto con vínculos con China. Además, añadieron que Daxin parece estar optimizado para su uso contra objetivos altamente protegidos, lo que permite a los atacantes adentrarse en la red de un objetivo y exfiltrar datos sin levantar sospechas.
Según informa Symantec, Daxin se presenta en forma de controlador del kernel de Windows, el cual es un formato relativamente infrecuente para el malware actualmente. Utiliza funcionalidades de comunicación avanzadas, lo que le brinda un alto grado de sigilo y permite a los atacantes comunicarse con las computadoras infectadas, en redes de alta seguridad, en las que no se dispone de conectividad directa a internet.
Las características y capacidades del malware llevan a los investigadores a creer que los atacantes invirtieron un gran esfuerzo en el desarrollo de técnicas de comunicación que pueden mezclarse sin ser detectadas con el tráfico de red normal en la red del objetivo.
Daxin puede retransmitir sus comunicaciones a través de una red de PCs infectados dentro de la organización atacada. Es así como los atacantes pueden seleccionar una ruta arbitraria a través de las máquinas infectadas y enviar un único comando que les ordene establecer la conectividad solicitada. Cuenta también con túneles de red, lo que permite a los atacantes comunicarse con servicios legítimos de la red de la víctima a los que se puede acceder desde cualquier PC infectado.
Como si fuera poco, Daxin permite a los atacantes realizar operaciones remotas en los sistemas infectados como leer y escribir archivos, así como iniciar procesos arbitrarios e interactuar con ellos. A pesar de esto, según los investigadores, su verdadero valor reside en sus capacidades de ocultación y comunicación.
Los investigadores afirman que la funcionalidad más interesante podría ser su capacidad para crear nuevos canales de comunicación a través de múltiples computadoras infectadas, donde la lista de nodos es proporcionada por el atacante en un único comando. Para cada nodo, el mensaje incluye todos los detalles necesarios para establecer la comunicación, concretamente la dirección IP del nodo, su número de puerto TCP y las credenciales para el intercambio de claves personalizado.
