Los hackers de habla china, conocidos como IronHusky, han intensificado sus ataques contra las organizaciones gubernamentales de Rusia y Mongolia, utilizando una versión mejorada del malware MysterySnail (RAT, por sus siglas en inglés).
La evolución del malware MysterySnail 🧬
Investigadores de Kaspersky, a través de su equipo Global Research and Analysis Team (GReAT), descubrieron que el malware RAT actualizado fue desplegado mediante un script malicioso de MMC disfrazado como un documento de Word.
Este script descargaba cargas útiles de segunda fase y permitía que los atacantes mantuvieran persistencia en los sistemas comprometidos.
Uno de los payloads maliciosos era una puerta trasera intermedia que facilitaba la transferencia de archivos entre los servidores de comando y control y los dispositivos hackeados.
Esta puerta trasera también permitía ejecutar comandos, crear nuevos procesos, eliminar archivos y realizar otras actividades maliciosas.
MysteryMonoSnail, la nueva versión ligera del malware 🎯
En sus investigaciones, Kaspersky observó que, tras bloquear las intrusiones relacionadas con MysterySnail, los atacantes continuaron sus esfuerzos, implementando una versión más ligera del RAT original, a la que denominaron MysteryMonoSnail.
Esta nueva versión está compuesta por un único componente, pero aún mantiene un amplio abanico de comandos para controlar dispositivos comprometidos. Los atacantes pueden gestionar servicios, ejecutar comandos de terminal, generar y terminar procesos, y gestionar archivos.
Un malware de larga data 🕵️♂️
Este malware no es nuevo. El MysterySnail RAT fue detectado por primera vez en agosto de 2021, cuando Kaspersky lo observó siendo utilizado en ataques de espionaje dirigidos a empresas de tecnología, contratistas militares y entidades diplomáticas en Rusia y Mongolia.
Durante esos ataques, los IronHusky utilizaron una vulnerabilidad en el controlador de núcleo de Windows Win32k (CVE-2021-40449) para comprometer los sistemas.
El grupo de hackers chinos IronHusky es conocido por su actividad de espionaje dirigida a entidades gubernamentales y militares, con el objetivo de recolectar inteligencia sobre negociaciones militares entre Rusia y Mongolia.
Un historial de ataques dirigidos a Rusia y Mongolia 🎯
El grupo de hackers IronHusky fue detectado por Kaspersky por primera vez en 2017, mientras investigaban una campaña enfocada en entidades gubernamentales rusas y mongolas.
En esa ocasión, su objetivo era recopilar información sobre las negociaciones militares entre ambos países.
Un año después, los investigadores observaron que explotaban una vulnerabilidad en Microsoft Office (CVE-2017-11882) para propagar RATs como PoisonIvy y PlugX, que también son utilizados habitualmente por grupos de hackers chinos.
Medidas a tomar y detalles técnicos 📊
El informe de Kaspersky también incluye indicadores de compromiso y detalles técnicos sobre los últimos ataques relacionados con MysterySnail RAT, proporcionando información crucial para que las organizaciones puedan detectar y defenderse de este malware.
El RAT MysterySnail sigue evolucionando y, aunque no se trata de una amenaza nueva, su persistencia y capacidad para el espionaje cibernético lo convierte en un riesgo significativo para los gobiernos y empresas afectadas.
Las medidas de protección son esenciales para prevenir futuros incidentes.
📌 Más Artículos Relacionados
Descubre más desde CIBERNINJAS
Suscríbete y recibe las últimas entradas en tu correo electrónico.