Investigadores de ciberseguridad han descubierto una nueva puerta trasera basada en PHP llamada Glotón que se ha utilizado en ataques cibernéticos dirigidos a China, Estados Unidos, Camboya, Pakistán y Sudáfrica.
QiAnXin XLab, que descubrió la actividad maliciosa a finales de abril de 2024, atribuyó el malware previamente desconocido con moderada confianza al prolífico grupo de estado-nación chino rastreado Winnti (también conocido como APT41).
“Curiosamente, nuestra investigación reveló que los creadores de Glutton apuntaron deliberadamente a sistemas dentro del mercado del cibercrimen”, dijo la compañía. “Con las operaciones de envenenamiento, pretendían volver en su contra las herramientas de los ciberdelincuentes: un escenario clásico de ‘no hay honor entre los ladrones'”.
Glutton está diseñado para recopilar información confidencial del sistema, eliminar un componente de puerta trasera ELF y realizar inyección de código en marcos PHP populares como Baota (BT), ThinkPHP, Yii y Laravel. El malware ELF también comparte una “similitud casi completa” con una conocida herramienta Winnti denominada PWNLNX.
A pesar de los vínculos con Winnti, XLab dijo que no puede vincular definitivamente la puerta trasera con el adversario debido a la falta de técnicas de sigilo típicamente asociadas con el grupo. La empresa de ciberseguridad describió las deficiencias como “inusualmente deficientes”.
Esto incluye la falta de comunicaciones cifradas de comando y control (C2), el uso de HTTP (en lugar de HTTPS) para descargar las cargas útiles y el hecho de que las muestras están libres de cualquier ofuscación.
En esencia, Glutton es un marco de malware modular capaz de infectar archivos PHP en dispositivos de destino, así como instalar puertas traseras. Se cree que el acceso inicial se logra mediante la explotación de fallas de día cero y día N y ataques de fuerza bruta.
Otro enfoque poco convencional implica anunciar en foros de ciberdelincuencia hosts empresariales comprometidos que contienen l0ader_shell, una puerta trasera inyectada en archivos PHP, que permite a los operadores organizar ataques contra otros ciberdelincuentes.
El módulo principal que permite el ataque es “task_loader”, que se utiliza para evaluar el entorno de ejecución y recuperar componentes adicionales, incluido “init_task”, que es responsable de descargar una puerta trasera basada en ELF que se hace pasar por FastCGI Process Manager (“/ lib/php-fpm”), infectando archivos PHP con código malicioso para una mayor ejecución de la carga útil, y recopilando información confidencial y modificando archivos del sistema.
La cadena de ataque también incluye un módulo llamado “client_loader”, una versión refactorizada de “init_task”, que hace uso de una infraestructura de red actualizada e incorpora la capacidad de descargar y ejecutar un cliente con puerta trasera. Modifica archivos del sistema como “/etc/init.d/network” para establecer la persistencia.
La puerta trasera PHP es una puerta trasera con todas las funciones que admite 22 comandos únicos que le permiten cambiar conexiones C2 entre TCP y UDP, iniciar un shell, descargar/cargar archivos, realizar operaciones de archivos y directorios y ejecutar código PHP arbitrario. Además, el marco hace posible buscar y ejecutar más cargas útiles de PHP sondeando periódicamente el servidor C2.
“Estas cargas útiles son altamente modulares, capaces de funcionar de forma independiente o ejecutarse secuencialmente a través de task_loader para formar un marco de ataque integral”, dijo XLab. “Toda la ejecución del código se produce dentro de procesos PHP o PHP-FPM (FastCGI), lo que garantiza que no se dejen atrás cargas útiles de archivos, logrando así una huella sigilosa”.
Otro aspecto notable es el uso de la herramienta HackBrowserData en sistemas utilizados por operadores de delitos cibernéticos para robar información confidencial con el objetivo probable de informar futuras campañas de phishing o ingeniería social.
“Además de atacar a las tradicionales víctimas de ‘sombrero blanco’ a través del delito cibernético, Glutton demuestra un enfoque estratégico en la explotación de los recursos de los operadores del delito cibernético”, dijo XLab. “Esto crea una cadena de ataque recursiva, aprovechando las propias actividades de los atacantes contra ellos”.
La divulgación se produce semanas después de que la firma con sede en Beijing detallara una versión actualizada del malware APT41 llamado Mélofée que agrega mecanismos de persistencia mejorados e “incorpora un controlador de kernel cifrado RC4 para enmascarar rastros de archivos, procesos y conexiones de red”.
Una vez instalada, la puerta trasera de Linux está equipada para comunicarse con un servidor C2 para recibir y ejecutar varios comandos, incluida la recopilación de información de dispositivos y procesos, el inicio del shell, la gestión de procesos, la realización de operaciones de archivos y directorios y la desinstalación.
“Mélofée ofrece una funcionalidad sencilla con capacidades de sigilo altamente efectivas”, dijo. “Las muestras de esta familia de malware son raras, lo que sugiere que los atacantes pueden limitar su uso a objetivos de alto valor”.