Los investigadores de la compañía de ciberseguridad Proofpoint atribuyen a TA415, grupo alineado con China y también conocido como APT41 y Brass Typhoon, la distribución de malware personalizado Voldemort para recopilar información y entregar payloads adicionales. En una inusual campaña maliciosa, los atacantes se hacían pasar por autoridades fiscales de Europa, Estados Unidos y Asia,
Sus analistas se basan en múltiples vínculos recientemente identificados entre la campaña que distribuye Voldemort y la infraestructura conocida de TA415, incluidas algunas coincidencias con la actividad notificada el pasado mes de julio por Mandiant, empresa de ciberseguridad subsidiaria de Google.
Ataque a Taiwán
A finales de agosto, Proofpoint identificó una campaña dirigida con una cadena de ataque casi idéntica para distribuir el backdoor Voldemort. En esta amenaza, los ciberdelincuentes suplantaban a una asociación de la industria aeroespacial de Taiwán, siguiendo con los objetivos de TA415 y los de otros atacantes alineados con China, que se dirigía repetidamente a cinco empresas aeroespaciales de Estados Unidos.
La banda de ciberdelincuentes TA415 usaba URLs de caché de Google AMP que redirigían a archivos 7-Zip protegidos por contraseña alojados en OpenDrive. Estos contenían archivos maliciosos Microsoft Shortcut (LNK) que intentaban descargar un script Python alojado en paste[.]ee. Esta actividad se mantuvo hasta finales de septiembre, y estuvo dirigida a un reducido número de organizaciones de los sectores químico, asegurador y manufacturero.
Los mensajes maliciosos advertían a los destinatarios sobre diversos cambios en las declaraciones de impuestos. Cada señuelo estaba personalizado y escrito en el idioma de la agencia tributaria suplantada. Los emails se enviaban desde dominios presuntamente comprometidos en los que los ciberdelincuentes incluían el dominio real de la agencia tributaria en la dirección de correo electrónico para mayor sensación de legitimidad.
La campaña comienza el 5 de agosto
Escudo Digital se hizo eco de estas simulaciones con el nombre de Voldemort, uno de los mayores enemigos de Harry Potter. La campaña comenzó el 5 de agosto. El phishing en cuestión señalaba la existencia de información fiscal actualizada y pedía a los destinatarios que pincharan en enlaces a documentos asociados.
Una característica destacada de esta amenaza es la utilización de Google Sheets como servidor de comando y control (C2), enviándolo para obtener nuevos comandos para ejecutar en el dispositivo infectado y como repositorio de datos robados.
Cada máquina infectada escribe sus datos en celdas específicas dentro del programa Google Sheets, que pueden designarse mediante identificadores únicos como UUID, lo que garantiza el aislamiento y una gestión más clara de los sistemas violados.