El actor de amenaza conocido como Panda de loto se ha observado dirigido al gobierno, la fabricación, las telecomunicaciones y los sectores de medios en Filipinas, Vietnam, Hong Kong y Taiwán con versiones actualizadas de una puerta trasera conocida llamada Sagerunex.
«Lotus Blossom ha estado utilizando la puerta trasera de Sagerunex desde al menos 2016 y está empleando cada vez más proyectiles de comandos de persistencia a largo plazo y desarrollando nuevas variantes de la suite de malware Sagerunex», dijo el investigador de Cisco Talos, Joey Chen, en un análisis publicado la semana pasada.
Lotus Panda, también conocido como Billbug, Bronze Elgin, Lotus Blossom, Spring Dragon y Thrip, es un presunto equipo de piratería chino que está activo desde al menos 2009. Symantec expuso por primera vez el actor de amenaza en junio de 2018.
A finales de 2022, Symantec, propiedad de Broadcom, detalló el ataque del actor de amenaza a una autoridad de certificado digital, así como a las agencias gubernamentales y de defensa ubicadas en diferentes países de Asia que involucraban el uso de puertas traseras como Hannotog y Sagerunex.
Se desconoce el vector de acceso inicial exacto utilizado para violar las entidades en el último conjunto de intrusiones, aunque tiene antecedentes de llevar a cabo ataques de phishing y riego de lanza. La vía de ataque no especificada sirve como un conducto para el implante Sagerunex, que se evalúa como una evolución de un malware más antiguo conocido como evora.
La actividad es notable para el uso de dos nuevas variantes «beta» del malware, que aprovechan los servicios legítimos como Dropbox, X y Zimbra como túneles de comando y control (C2) para evadir la detección. Se han llamado debido a la presencia de cadenas de depuración en el código fuente.
La puerta trasera está diseñada para recopilar información de host de destino, cifrarla y exfiltrar los detalles a un servidor remoto bajo el control del atacante. Se cree que las versiones Dropbox y X de Sagerunex se utilizaron entre 2018 y 2022, mientras que se dice que la versión Zimbra existió desde 2019.
«La versión Zimbra Webmail de Sagerunex no solo está diseñada para recopilar información de víctimas y enviarla al buzón de Zimbra, sino también para permitir que el actor use el contenido de Zimbra Mail para dar pedidos y controlar la máquina de víctimas», dijo Chen.
«Si hay un contenido de orden de comando legítimo en el buzón, la puerta trasera descargará el contenido y extraerá el comando, de lo contrario, la puerta trasera eliminará el contenido y esperará un comando legítimo».
Los resultados de la ejecución del comando se empaquetan posteriormente en forma de archivo RAR y se adjunta a un borrador del correo electrónico en el borrador del buzón y las carpetas de basura.
También se implementan en los ataques otras herramientas, como un robador de cookies para cosechar credenciales de navegador Chrome, una utilidad de proxy de código abierto llamado Venom, un programa para ajustar privilegios y software a medida para comprimir y cifrar datos capturados.
Además, se ha observado que el actor de amenaza ejecutaba comandos como Net, TaskSist, Ipconfig y NetStat para realizar el reconocimiento del entorno objetivo, además de llevar a cabo cheques para determinar el acceso a Internet.
«Si el acceso a Internet está restringido, entonces el actor tiene dos estrategias: usar la configuración proxy del objetivo para establecer una conexión o usar la herramienta de proxy Venom para vincular las máquinas aisladas con sistemas accesibles por Internet», señaló Talos.
