Hackers chinos crean una nueva técnica eficaz para atacar redes empresariales.

Investigadores en ciberseguridad han identificado una campaña de ataque llevada a cabo por un grupo de hackers chinos, dirigido a dispositivos de red mediante la utilización de malware que permite un acceso persistente y la ejecución de diversas operaciones. Este ataque, denominado “ELF/SShdinjector.A!tr” y atribuido al grupo Evasive Panda, también conocido como Daggerfly o BRONZE HIGHLAND, forma parte de las actividades de un grupo de amenazas persistentes avanzadas (APT) que ha estado activo desde al menos 2012.

Evasive Panda se especializa en ciberespionaje, enfocándose en individuos, instituciones gubernamentales y organizaciones. Históricamente, sus operaciones han incluido objetivos en Taiwán, Hong Kong y la comunidad tibetana. Sin embargo, aún no se ha determinado quiénes son los afectados en esta campaña específica.

El informe de los investigadores no detalla cómo Evasive Panda logró acceder a los dispositivos iniciales para implementar el malware. Se presuponen las causas usuales, como el uso de credenciales débiles, la explotación de vulnerabilidades conocidas o la presencia de dispositivos ya infectados con puertas traseras. Una vez logrado el acceso, los hackers inyectaron malware en el daemon SSH de los dispositivos, lo que les otorgó la capacidad de realizar diversas acciones.

Las posibilidades para los atacantes son amplias: podrían obtener detalles del sistema, leer información sensible de los usuarios, acceder a registros del sistema, cargar o descargar archivos, abrir una terminal remota, ejecutar comandos a distancia, eliminar archivos específicos y exfiltrar credenciales de usuario.

La última vez que se tuvo conocimiento de Daggerfly fue en julio de 2024, cuando se dirigieron a usuarios de macOS con una versión actualizada de su malware. Un informe anterior mencionó que esta nueva variante fue probablemente desarrollada en respuesta a la exposición de versiones más antiguas.

En esa campaña, se utilizó un malware conocido como Macma, un backdoor para macOS que apareció por primera vez en 2020, aunque su creador sigue siendo desconocido. Este backdoor modular cuenta con funcionalidades clave como la creación de huellas digitales de dispositivos, ejecución de comandos, captura de pantallas, registro de teclas, captura de audio y la capacidad de cargar y descargar archivos desde los sistemas comprometidos.

Además, el análisis de malware mediante inteligencia artificial fue discutido por los investigadores, quienes, a pesar de los problemas típicos relacionados con el uso de esta tecnología, como ilusiones y omisiones, reconocieron su potencial innovador. Según los investigadores, aunque las herramientas de desensamblado y decompilación han mejorado en la última década, el nivel de innovación observado con la inteligencia artificial es notable.