Se sospecha que el grupo Advanced Persistent Threat (APT) vinculado a China, llamado APT41, utiliza una “versión avanzada y mejorada” de un conocido malware llamado StealthVector para distribuir una puerta trasera previamente indocumentada llamada MoonWalk.
La nueva variante StealthVector, también llamada DUSTPAN, ha sido denominada DodgeBox por Zscaler ThreatLabz, que descubrió la cepa Charger en abril de 2024.
“DodgeBox es un cargador que carga una nueva puerta trasera llamada MoonWalk”, dijeron los investigadores de seguridad Yin Hong Chang y Sudeep Singh. dicho“MoonWalk comparte muchas técnicas de evasión implementadas en DodgeBox y utiliza Google Drive para la comunicación de comando y control (C2). »
APT41 es el apodo dado a un prolífico actor de amenazas patrocinado por el estado afiliado a China que se sabe que ha estado activo desde al menos 2007. También lo sigue la comunidad de ciberseguridad más amplia con los nombres Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda y Winnti.
En septiembre de 2020, el Departamento de Justicia de EE. UU. (DoJ) anunció la acusación de varios actores maliciosos asociados con el equipo de piratería por orquestar campañas de intrusión dirigidas a más de 100 empresas de todo el mundo.
“Las intrusiones […] “Facilitaron el robo de código fuente, certificados de firma de código de software, datos de cuentas de clientes e información comercial valiosa”, dijo el Departamento de Justicia en ese momento, y agregó que también permitieron “otros esquemas criminales, incluidos ransomware y esquemas de criptojacking”.
En los últimos años, el grupo de amenazas ha sido vinculado a violaciones de las redes del gobierno estatal de EE. UU. entre mayo de 2021 y febrero de 2022, además de ataques dirigidos a organizaciones de medios taiwaneses que utilizan una herramienta de seguridad de código abierto conocida como Google Command and Control (GC2). .
El uso de StealthVector por parte de APT41 ha sido documentado por primera vez por Trend Micro en agosto de 2021, describiéndolo como un cargador de código shell escrito en C/C++ utilizado para entregar Cobalt Strike Beacon y un implante de código shell llamado ScrambleCross (también conocido como SideWalk).
DodgeBox se considera una versión mejorada de StealthVector, al tiempo que incorpora varias técnicas como suplantación de pila de llamadas, carga lateral de DLL y excavación de DLL para evadir la detección. Actualmente se desconoce el método exacto mediante el cual se distribuye el malware.
“APT41 utiliza la descarga de DLL como una forma de ejecutar DodgeBox”, dijeron los investigadores. “Utilizan un ejecutable legítimo (taskhost.exe), firmado por Sandboxie, para descargar una DLL maliciosa (sbiedll.dll). »
La DLL maliciosa (es decir, DodgeBox) es un cargador de DLL escrito en C que actúa como un conducto para descifrar y lanzar una carga útil de segunda etapa, la puerta trasera MoonWalk.
La asignación de DodgeBox a APT41 surge de las similitudes entre DodgeBox y StealthVector; el uso de descarga de DLL, una técnica ampliamente utilizada por grupos vinculados a China para distribuir malware como PlugX; y el hecho de que se enviaron muestras de DodgeBox a VirusTotal desde Tailandia y Taiwán.
“DodgeBox es un cargador de malware recientemente identificado que utiliza múltiples técnicas para evadir la detección estática y de comportamiento”, dijeron los investigadores.
“Ofrece varias funciones, que incluyen descifrar y cargar archivos DLL integrados, realizar comprobaciones y enlaces del entorno y realizar procedimientos de limpieza. »