ToddyCat, un nuevo grupo de APT que ataca a gobiernos europeos y asiáticos con malware

Este grupo de amenazas persistentes avanzadas fue descubierto por Kaspersky en diciembre de 2020 atacando servidores de Microsoft Exchange.

Alberto Payo

Periodista

Guardar

toddy cat civeta
toddy cat civeta

La compañía de seguridad Kaspersky ha alertado sobre ToddyCat (o civeta en castellano), un grupo de amenazas persistentes avanzadas (APT) que es prácticamente un recién llegado al mundo de los ciberataques. 

La firma de origen ruso supo de su existencia allá por diciembre de 2020, cuando llevó a cabo una serie de ataques a los servidores de Microsoft Exchange. 

Entre enero y febrero Kaspersky detectó una gran escalada al aprovechar el grupo la vulnerabilidad ProxyLogon en los servidores de la herramienta de Redmond para comprometer a diversas organizaciones en Europa y Asia. En septiembre comenzaron a atacar máquinas virtuales vinculadas con gobiernos y entidades diplomáticas en Asia. 

Sin embago, ToddyCat no ha cesado su actividad. La compañía de seguridad aseguran que aunque no está claro el vector inicial de infección de los últimos ataques, lo que sí se conoce es que se sirve del backdoor Samurai y el troyano Ninja Trojan, dos herramientas muy sofisticadas que pueden penetrar en las redes del objetivo de manera sibilina. 

Peligrosas y silenciosas

Samurai es un backdoor modular, permitiendo al ciberdelincuente administrar el sistema remoto y moverse lateralmente dentro de la red comprometida.

Este malware destaca por utilizar múltiples flujos de control, lo que dificulta el seguimiento del orden de las acciones en el código. Además, se usa para lanzar un nuevo malware apodado Ninja Trojan.

El troyano Ninja es una compleja herramienta de colaboración que permite que varios operadores trabajen en el mismo equipo simultáneamente. También proporciona un amplio conjunto de comandos, lo que facilita a los atacantes controlar sistemas remotos mientras evitan la detección. Normalmente, se carga en la memoria de un dispositivo y se lanza mediante varios cargadores. 

Las capacidades de este malware incluyen la gestión de sistemas de archivos, el inicio de shells inversos, el reenvío de paquetes TCP e, incluso, la toma de control de la red en periodos de tiempo concretos, que pueden ser configurados dinámicamente mediante un comando específico.

El malware también se asemeja a otros conocidos frameworks de post-explotación, como CobaltStrike. Asimismo, Ninja puede limitar el número de conexiones directas desde la red objetivo a los sistemas remotos de comando y control sin acceso a Internet. Para más inri, puede camuflar el tráfico malicioso en las peticiones HTTP haciéndolas parecer legítimas mediante la modificación de las cabeceras HTTP y las rutas URL. Todas estas capacidades hacen que el troyano Ninja sea especialmente sigiloso.

"ToddyCat es un sofisticado actor de amenazas con elevadas habilidades técnicas, capaz de pasar desapercibido y abrirse paso en organizaciones de alto nivel. A pesar del número de ataques descubiertos durante el último año, todavía no tenemos un mapa completo de sus operaciones y tácticas", comenta Giampaolo Dedola, experto en seguridad de Kaspersky.

"Otra característica destacable de ToddyCat es que se centra en las capacidades avanzadas del malware. De hecho, el troyano Ninja recibió su nombre por un motivo: es difícil de detectar y, por tanto, de detener. La mejor manera de enfrentarse a este tipo de amenazas es utilizar defensas multicapa, que proporcionen información sobre los activos internos y se mantengan al día con la última inteligencia frente a amenazas", sugiere Dedola.