Evasive Panda despliega campaña de ciberespionaje a tibetanos aprovechando un festival religioso

Los investigadores de ESET descubrieron una campaña de ciberespionaje que, al menos desde septiembre de 2023, atacó a tibetanos a través de un ataque dirigido (también conocido como ataque web estratégico) y un ataque a la cadena de suministro mediante downloaders troyanizados de software de traducción de idioma tibetano. El objetivo de los atacantes era desplegar downloaders maliciosos para Windows y macOS con el fin de comprometer a los visitantes del sitio web con MgBot y un backdoor que, por lo que sabemos, aún no se ha documentado públicamente; lo hemos denominado Nightdoor.

Perfil de Evasive Panda

Evasive Panda (también conocido como BRONZE HIGHLAND y Daggerfly) es un grupo APT de habla china, activo desde al menos 2012. ESET Research ha observado al grupo realizando ciberespionaje contra individuos en China continental, Hong Kong, Macao y Nigeria. Las entidades gubernamentales fueron atacadas en el sudeste y este de Asia, específicamente en China, Macao, Myanmar, Filipinas, Taiwán y Vietnam. Otras organizaciones de China y Hong Kong también fueron objeto de ataques. Según informes públicos, el grupo también ha atacado entidades desconocidas en Hong Kong, India y Malasia.

El grupo utiliza su propio marco de malware personalizado con una arquitectura modular que permite que su backdoor, conocida como MgBot, reciba módulos para espiar a sus víctimas y mejorar sus capacidades. Desde 2020 también hemos observado que Evasive Panda tiene capacidad para distribuir sus backdoors a través de ataques de intermediario que secuestran actualizaciones de software legítimo.

Resumen de la campaña

En enero de 2024, descubrimos una operación de ciberespionaje en la que los atacantes comprometieron al menos tres sitios web para llevar a cabo ataques de watering hole, así como un compromiso de la cadena de suministro de una empresa de software tibetana.

El sitio web comprometido del que se abusó como abrevadero pertenece a Kagyu International Monlam Trust, una organización con sede en la India que promueve el budismo tibetano a escala internacional. Los atacantes colocaron un script en el sitio web que verifica la dirección IP de la víctima potencial y, si está dentro de uno de los rangos de direcciones objetivo, muestra una página de error falsa para incitar al usuario a descargar un certificado de nombre "fix" (con extensión .exe si el visitante utiliza Windows o .pkg si utiliza macOS). Este archivo es un descargador malicioso que despliega la siguiente etapa en la cadena de compromiso.

Basándonos en los rangos de direcciones IP que comprueba el código, descubrimos que los atacantes tenían como objetivo usuarios de India, Taiwán, Hong Kong, Australia y Estados Unidos; el ataque podría haber tenido como objetivo capitalizar el interés internacional en el Festival Kagyu Monlam (Figura 1) que se celebra anualmente en enero en la ciudad de Bodhgaya, India.

Curiosamente, la red del Georgia Institute of Technology (también conocido como Georgia Tech) de Estados Unidos se encuentra entre las entidades identificadas en los rangos de direcciones IP objetivo. En el pasado, se había mencionado la universidad en relación con la influencia del Partido Comunista Chino en los institutos de educación de Estados Unidos.

Alrededor de septiembre de 2023, los atacantes comprometieron el sitio web de una empresa de desarrollo de software con sede en la India que produce software de traducción de la lengua tibetana. Los atacantes colocaron allí varias aplicaciones troyanizadas que despliegan un descargador malicioso para Windows o macOS.

Además de esto, los atacantes también abusaron del mismo sitio web y de un sitio web de noticias tibetano llamado Tibetpost - tibetpost[.]net - para alojar las cargas útiles obtenidas por las descargas maliciosas, incluidos dos backdoors con todas las funciones para Windows y un número desconocido de cargas útiles para macOS.

Atribuimos esta campaña al grupo Evasive Panda APT, basándonos en el malware utilizado: MgBot y Nightdoor. En el pasado, hemos visto ambos backdoors desplegados juntos, en un ataque no relacionado contra una organización religiosa en Taiwán, en el que también compartían el mismo servidor de C&C. Ambos puntos también se aplican a la campaña descrita en este blogpost.

Agujero de riego

El 14 de enero de 2024, detectamos un script sospechoso en https://www.kagyumonlam[.]org/media/vendor/jquery/js/jquery.js?3.6.3.

Se adjuntó código malicioso ofuscado a un script legítimo de la biblioteca jQuery JavaScript, como se ve en la figura 2.

El script envía una petición HTTP a la dirección localhost http://localhost:63403/?callback=handleCallback para comprobar si el descargador intermedio del atacante ya se está ejecutando en la máquina de la víctima potencial (véase la Figura 3). En una máquina previamente comprometida, el implante responde con handleCallback({"success":true }) (ver Figura 4) y el script no realiza ninguna otra acción.

Si la máquina no responde con los datos esperados, el código malicioso continúa obteniendo un hash MD5 de un servidor secundario en https://update.devicebug[.]com/getVersion.php. A continuación, el hash se coteja con una lista de 74 valores hash, como se ve en la Figura 5.

Si hay una coincidencia, el script mostrará una página HTML con una falsa notificación de fallo (Figura 6) con la intención de engañar al usuario visitante para que descargue una solución para arreglar el problema. La página imita las típicas advertencias "Aw, Snap!" de Google Chrome.

El botón "Solución inmediata" activa un script que descarga una carga útil basada en el sistema operativo del usuario (Figura 7).

Rompiendo el hash

La condición para la entrega de la carga útil requiere obtener el hash correcto del servidor en update.devicebug[.]com, por lo que los 74 hashes son la clave del mecanismo de selección de víctimas del atacante. Sin embargo, dado que el hash se calcula en el lado del servidor, nos supuso un reto saber qué datos se utilizan para calcularlo.

Experimentamos con diferentes direcciones IP y configuraciones del sistema y redujimos la entrada para el algoritmo MD5 a una fórmula de los tres primeros octetos de la dirección IP del usuario. En otras palabras, al introducir direcciones IP que comparten el mismo prefijo de red, por ejemplo 192.168.0.1 y 192.168.0.50, recibirán el mismo hash MD5 del servidor C&C.

Sin embargo, se incluye una combinación desconocida de caracteres, o una salt, con la cadena de los tres primeros octetos de IP antes del hash para evitar que los hashes se puedan forzar de forma trivial. Por lo tanto, tuvimos que forzar salt para asegurar la fórmula de entrada y, a continuación, generar hashes utilizando todo el rango de direcciones IPv4 para encontrar los 74 hashes coincidentes.

A veces las estrellas se alinean, y descubrimos que salt era 1qaz0okm!@#. Con todas las piezas de la fórmula de entrada MD5 (por ejemplo, 192.168.1.1qaz0okm!@#), forzamos los 74 hashes con facilidad y generamos una lista de objetivos. Véase la lista completa en el Apéndice.

Como se muestra en la Figura 8, la mayoría de los rangos de direcciones IP objetivo se encuentran en India, seguidos de Taiwán, Australia, Estados Unidos y Hong Kong. Nótese que la mayor parte de la diáspora tibetana vive en India.

Carga útil en Windows

En Windows, las víctimas del ataque reciben un ejecutable malicioso ubicado en https://update.devicebug[.]com/fixTools/certificate.exe. La figura 9 muestra la cadena de ejecución que sigue cuando el usuario descarga y ejecuta el fix malicioso.

certificate.exe es un dropper que despliega una cadena de carga lateral para cargar un downloader intermedio, memmgrset.dll (denominado internamente http_dy.dll). Esta DLL obtiene un archivo JSON del servidor C&C en https://update.devicebug[.]com/assets_files/config.json, que contiene la información para descargar la siguiente etapa (ver Figura 10).

Cuando la siguiente etapa se descarga y ejecuta, despliega otra cadena de carga lateral para entregar Nightdoor como payload final. A continuación, en la sección Nightdoor, se ofrece un análisis de Nightdoor.

Carga útil para macOS

El malware para macOS es el mismo descargador que documentamos con más detalle en Supply-chain compromise. Sin embargo, éste deja caer un ejecutable Mach-O adicional, que escucha en el puerto TCP 63403. Su único propósito es responder con handleCallback({"success":true }) a la petición del código JavaScript malicioso, de modo que si el usuario vuelve a visitar el sitio web de la charca, el código JavaScript no intentará volver a comprometer al visitante.

Este downloader obtiene el archivo JSON del servidor y descarga la siguiente etapa, igual que la versión de Windows descrita anteriormente.

Compromiso de la cadena de suministro

El 18 de enero, descubrimos que el sitio web oficial (Figura 11) de un producto de software de traducción de idioma tibetano para múltiples plataformas alojaba paquetes ZIP que contenían instaladores troyanizados de software legítimo que desplegaban downloaders maliciosos para Windows y macOS.

Encontramos una víctima de Japón que descargó uno de los paquetes para Windows. La Tabla 1 enumera las URL y los implantes descargados.

Tabla 1 URL de los paquetes maliciosos en el sitio web comprometido y tipo de carga útil en la aplicación comprometida

Paquetes Windows

La Figura 13 ilustra la cadena de carga de la aplicación troyanizada desde el paquete monlam-bodyig3.zip.

La aplicación troyanizada contiene un dropper malicioso llamado autorun.exe que despliega dos componentes

• un archivo ejecutable llamado MonlamUpdate.exe, que es un componente de software de un emulador llamado C64 Forever y del que se abusa para la carga lateral de DLL, y
• RPHost.dll, la DLL de carga lateral, que es un downloader malicioso para la siguiente etapa.

Cuando la DLL downloader se carga en memoria, crea una tarea programada llamada Demovale que se ejecutará cada vez que un usuario inicie sesión. Sin embargo, como la tarea no especifica un archivo a ejecutar, no consigue establecer la persistencia.

A continuación, esta DLL obtiene un UUID y la versión del sistema operativo para crear un User-Agent personalizado y envía una petición GET a https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat para obtener un archivo JSON que contiene la URL para descargar y ejecutar un payload que deposita en el directorio %TEMP%. No pudimos obtener una muestra de los datos del objeto JSON del sitio web comprometido; por lo tanto, no sabemos desde dónde se descarga exactamente default_ico.exe, como se ilustra en la Figura 12.

A través de la telemetría de ESET, observamos que el proceso ilegítimo MonlamUpdate.exe descargó y ejecutó en diferentes ocasiones al menos cuatro archivos maliciosos en %TEMP%\default_ico.exe. La Tabla 2 enumera esos archivos y su finalidad.

Tabla 2. Hash del downloader/dropper default_ico .exe , URL del C&C contactado y descripción del downloader

Por último, el descargador o dropper default_ico. exe obtendrá el payload del servidor o lo soltará, y luego la ejecutará en la máquina víctima, instalando Nightdoor (véase la sección Nightdoor ) o MgBot (véase nuestro análisis anterior).

Los dos paquetes troyanizados restantes son muy similares, ya que despliegan la misma DLL de descarga maliciosa cargada lateralmente por el ejecutable legítimo.

Paquetes para macOS

El archivo ZIP descargado de la tienda oficial de aplicaciones contiene un paquete instalador modificado (archivo.pkg ), al que se han añadido un ejecutable Mach-O y un script de postinstalación. El script de post-instalación copia el archivo Mach-O a $HOME/Library/Containers/CalendarFocusEXT/ y procede a instalar un Launch Agent en $HOME/Library/LaunchAgents/com.Terminal.us.plist para la persistencia. La Figura 13 muestra el script responsable de instalar y lanzar el Agente de Lanzamiento malicioso.

El Mach-O malicioso, Monlam-bodyig_Keyboard_2017 de la Figura 13 está firmado, pero no notariado, usando un certificado de desarrollador (no un certificado del tipo usado habitualmente para distribución) con el nombre e identificador de equipo ya ni yang(289F6V4BN). La marca de tiempo de la firma indica que se firmó el 7 de enero de 2024. Esta fecha también se utiliza en la marca de tiempo modificada de los archivos maliciosos en los metadatos del archivo ZIP. El certificado se emitió sólo tres días antes. El certificado completo está disponible en la sección IoCs. Nuestro equipo se puso en contacto con Apple el 25 de  enero y el certificado fue revocado el mismo día.

Este malware de primera etapa descarga un archivo JSON que contiene la URL de la siguiente etapa. La arquitectura (ARM o Intel), la versión de macOS y el UUID de hardware (un identificador único para cada Mac) se indican en el encabezado de solicitud HTTP User-Agent. Para recuperar esa configuración se utiliza la misma URL que para la versión de Windows: https://www.monlamit[.]com/sites/default/files/softwares/updateFiles/Monlam_Grand_Tibetan_Dictionary_2018/UpdateInfo.dat. Sin embargo, la versión para macOS buscará los datos bajo la clave mac del objeto JSON en lugar de la clave win.

El objeto bajo la clave mac debe contener lo siguiente

• url: La URL a la siguiente etapa.
• md5: Suma MD5 de la carga útil.
• vernow: Una lista de UUID de hardware. Si está presente, la carga útil sólo se instalará en los Mac que tengan uno de los UUID de hardware de la lista. Esta comprobación se omite si la lista está vacía o no existe.
• versión: Un valor numérico que debe ser superior a la "versión" de segunda etapa descargada previamente. De lo contrario, la carga útil no se descarga. El valor de la versión actualmente en ejecución se mantiene en los valores predeterminados del usuario de la aplicación.

Después de que el malware descargue el archivo de la URL especificada mediante curl, el archivo se somete a hash mediante MD5 y se compara con el resumen hexadecimal bajo la clave md5. Si coincide, se eliminan sus atributos extendidos (para borrar el atributo com.apple.quarantine), el archivo se mueve a $HOME/Library/SafariBrowser/Safari.app/Contents/MacOS/SafariBrower, y se lanza usando execvp con el argumento run.

A diferencia de la versión para Windows, no pudimos encontrar ninguna de las etapas posteriores de la variante para macOS. Una configuración JSON contenía un hash MD5(3C5739C25A9B85E82E0969EE94062F40), pero el campo URL estaba vacío.

Nightdoor

El backdoor que hemos denominado Nightdoor (y que los autores del malware llaman NetMM según las rutas PDB) es una incorporación tardía al conjunto de herramientas de Evasive Panda. Nuestro primer conocimiento de Nightdoor se remonta a 2020, cuando Evasive Panda lo desplegó en una máquina de un objetivo de alto perfil en Vietnam. El backdoor se comunica con su servidor de C&C a través de UDP o la API de Google Drive. El implante Nightdoor de esta campaña utilizaba esta última. Cifra un token OAuth 2. 0 de la API de Google dentro de la sección de datos y utiliza el token para acceder a Google Drive del atacante. Hemos solicitado que se elimine la cuenta de Google asociada a este token.

En primer lugar, Nightdoor crea una carpeta en Google Drive que contiene la dirección MAC de la víctima, que también actúa como ID de la víctima. Esta carpeta contendrá todos los mensajes entre el implante y el servidor de C&C. Cada mensaje entre Nightdoor y el servidor de C&C se estructura como un archivo y se separa en nombre de archivo y datos de archivo, como se muestra en la Figura 14.

Cada nombre de archivo contiene ocho atributos principales, lo que se demuestra en el siguiente ejemplo.

Ejemplo:

1_2_0C64C2BAEF534C8E9058797BCD783DE5_168_0_1_4116_0_00-00-00-00-00-00

• 1_2: valor mágico.
• 0C64C2BAEF534C8E9058797BCD783DE5: cabecera de la estructura de datos pbuf.
• 168: tamaño del objeto mensaje o tamaño del fichero en bytes.
• 0: nombre de archivo, que por defecto es siempre 0 (nulo).
• 1: tipo de comando, codificado como 1 o 0 dependiendo de la muestra.
• 4116: ID del comando.
• 0: calidad de servicio (QoS).
• 00-00-00-00-00: se supone que es la dirección MAC del destino, pero por defecto siempre es 00-00-00-00-00-00-00.

Los datos dentro de cada archivo representan el comando del controlador para el backdoor y los parámetros necesarios para ejecutarlo. La Figura 15 muestra un ejemplo de un mensaje del servidor C&C almacenado como datos de archivo.

Mediante ingeniería inversa de Nightdoor, pudimos entender el significado de los campos importantes presentados en el archivo, como se muestra en la Figura 16.

Descubrimos que se habían añadido muchos cambios significativos a la versión de Nightdoor utilizada en esta campaña, siendo uno de ellos la organización de los ID de comando. En versiones anteriores, cada ID de comando se asignaba a una función manejadora de uno en uno, como se muestra en la Figura 17. Las opciones de numeración, como de 0x2001 a 0x2006, de 0x2201 a 0x2203, de 0x4001 a 0x4003, y de 0x7001 a 0x7005, sugerían que los comandos se dividían en grupos con funcionalidades similares.

Sin embargo, en esta versión, Nightdoor utiliza una tabla de ramas para organizar todos los IDs de comandos con sus correspondientes manejadores. Los IDs de comando son continuos y actúan como índices de sus correspondientes manejadores en la tabla de ramas, como se muestra en la Figura 18.

La Tabla 3 es una vista previa de los comandos del servidor C&C y sus funcionalidades. Esta tabla contiene los IDs de los nuevos comandos así como los IDs equivalentes de versiones anteriores.

Tabla 3. Comandos soportados por las variantes de Nightdoor utilizadas en esta campaña.

Conclusión

Hemos analizado una campaña de la APT Evasive Panda, alineada con China, dirigida a tibetanos en varios países y territorios. Creemos que los atacantes aprovecharon, en su momento, la proximidad del festival Monlam en enero y febrero de 2024 para comprometer a los usuarios cuando visitaban el sitio web del festival, convertido en watering hole. Además, los atacantes comprometieron la cadena de suministro de un desarrollador de software de aplicaciones de traducción de lengua tibetana.

Los atacantes utilizaron varios downloaders, droppers y backdoors, entre ellos MgBot -utilizado exclusivamente por Evasive Panda- y Nightdoor: la última gran adición al conjunto de herramientas del grupo y que se ha utilizado para atacar varias redes en Asia Oriental.

En nuestro repositorio de GitHub se encuentra una lista completa de indicadores de compromiso (IoC) y muestras.

Para cualquier consulta sobre nuestra investigación publicada en WeLiveSecurity, por favor contáctenos en threatintel@eset.com.
ESET Research ofrece informes privados de inteligencia APT y fuentes de datos. Para cualquier consulta sobre este servicio, visite la página de ESET Threat Intelligence.

IoCs

Archivos

Certificados

Técnicas ATT&CK de MITRE

Esta tabla se ha elaborado utilizando la versión 14 del marco MITRE ATT&CK.

Apéndice

Los rangos de direcciones IP objetivo se muestran en la siguiente tabla.