Una de las cargas útiles avanzadas enviadas a aproximadamente una docena de organizaciones es lo que Kaspersky describe como una “puerta trasera minimalista”. Tiene la capacidad de ejecutar comandos, descargar archivos y ejecutar cargas útiles de shellcode en la memoria, lo que dificulta la detección de infecciones.
Kaspersky dijo que observó una puerta trasera más compleja denominada QUIC RAT, instalada en una máquina perteneciente a una institución educativa ubicada en Rusia. El análisis inicial encontró que puede inyectar cargas útiles en los procesos notepad.exe y conhost.exe y admite una variedad de protocolos de comunicación C2, incluidos HTTP, UDP, TCP, WSS, QUIC, DNS y HTTP/3.
Las 100 organizaciones infectadas estaban ubicadas principalmente en Rusia, Brasil, Türkiye, España, Alemania, Francia, Italia y China. La visibilidad de Kaspersky sobre estos ataques es limitada porque se basa únicamente en la telemetría proporcionada por sus propios productos.
Los investigadores de Kaspersky escribieron:
El análisis muestra que el 10% de los sistemas afectados pertenecen a empresas y organizaciones. El atacante intentó infectar la mayoría de las máquinas afectadas únicamente con cargas útiles de recopilación de información. Sin embargo, otras cargas de puerta trasera, más complejas, solo se observaron en una docena de máquinas pertenecientes a gobiernos, organizaciones científicas, fabricantes y minoristas ubicadas en Rusia, Bielorrusia y Tailandia. La forma en que la puerta trasera se propagó a una pequeña proporción de máquinas infectadas indica claramente que el atacante tenía la intención de llevar a cabo la infección de manera específica. Sin embargo, sus intenciones (ya sea ciberespionaje o “caza mayor”) no están claras por el momento.
Los ataques más recientes a la cadena de suministro han afectado a Trivy, Checkmarx y Bitwarden y más de 150 paquetes están disponibles a través de repositorios de código abierto. El año pasado hubo al menos seis ataques similares.
Cualquiera que utilice Daemon Tools debería tomarse el tiempo para escanear minuciosamente su máquina utilizando un software antivirus de buena reputación. Los usuarios de Windows también deben comprobar los indicadores de compromiso enumerados en la publicación de Kaspersky. Para usuarios técnicamente más avanzados, Kaspersky recomienda monitorear “la inyección de código sospechoso en procesos legítimos del sistema, especialmente cuando la fuente es un archivo ejecutable iniciado desde un directorio de acceso público como Temp, AppData o Public”.
