Investigadores de amenazas de Symantec han advertido en un informe de que el grupo de amenazas persistentes avanzadas (APT) Daggerfly habría incorporado a su modus operandi una nueva familia de malware basada en el framework MgBot y una puerta trasera actualizada Macma para el sistema operativo macOS.
Estos peligrosos ciberdelincuentes están vinculados a China y también son conocidos como Evasive Panda o Bronze Highland.
No se trata de unos novatos, ni nada parecido. De hecho, llevan operando desde, al menos, hace una década.
“El grupo de espionaje Daggerfly ha actualizado ampliamente su conjunto de herramientas, introduciendo varias versiones nuevas de su malware, muy probablemente como respuesta a la exposición de variantes más antiguas”, señala el informe.
“Las nuevas herramientas se implementaron en una serie de ataques recientes contra organizaciones en Taiwán y una ONG estadounidense con sede en China, lo que indica que el grupo también se dedica al espionaje interno. En el ataque a esta organización, los atacantes explotaron una vulnerabilidad en un servidor HTTP Apache para distribuir su malware MgBot", añaden.
El año pasado la firma de seguridad Symantec encontró una intrusión de este grupo APT en un operador de telecomunicaciones africano mediante nuevos plugins de MgBot. Así, destacarían por su continua evolución en sus técnicas de ciberespionaje.
Estos piratas informáticos también se servirían de otro malware llamado Suzafk (denominado igualmente NetMM o Nightdoor), según ESET encontró en marzo.
En el citado informe se indica que “Suzafk es una puerta trasera de varias etapas capaz de utilizar TCP o OneDrive para C&C. El malware contenía la siguiente configuración, lo que indica que la funcionalidad para conectarse a OneDrive está en desarrollo o presente en otras variantes del malware”
Los investigadores destacan igualmente que Evasive Panda tiene la capacidad de "troyanizar APK de Android, herramientas de interceptación de SMS, herramientas de interceptación de solicitudes DNS e incluso familias de malware dirigidas al sistema operativo Solaris. Daggerfly parece ser capaz de responder a la exposición actualizando rápidamente su conjunto de herramientas para continuar con sus actividades de espionaje con una interrupción mínima”.
Qué es Macma y cómo funciona
Según se hace eco Security Affairs, Macma es una una puerta trasera modular que admite múltiples funcionalidades, incluidas la toma de huellas dactilares del dispositivo, la ejecución de comandos, la captura de pantalla, el registro de teclas, la captura de audio y la carga y descarga de archivos.
Dicha puerta trasera para macOS fue descrita por primera vez por Google en 2021, aunque su utilización dataría desde 2019.
Los atacantes han estado explotando la vulnerabilidad de escalada de privilegios CVE-2021-30869 para instalar Macma en equipos con el sistema operativo de la manzana.
Aunque Macma se ha usado ampliamente en ciberoperaciones llevadas a cabo por actores de estado-nación no estaría vinculada a ningún grupo en particular.