El equipo de Análisis e Investigación Global de Kaspersky (GReAT) ha descubierto una nueva puerta trasera, llamada GhostContainer, basada en herramientas de código abierto. Se trata de un malware muy personalizado y hasta ahora desconocido, que apareció durante una investigación en servidores Microsoft Exchange utilizados en entornos gubernamentales.
Todo indica que esta amenaza forma parte de una campaña APT (amenaza persistente avanzada) dirigida a objetivos de alto valor en Asia, como empresas tecnológicas y organismos oficiales.
Kaspersky identificó el archivo como App_Web_Container_1.dll, y resultó ser una puerta trasera sofisticada y muy versátil. Utiliza varios proyectos de código abierto y puede ampliarse dinámicamente descargando módulos adicionales con distintas funciones, según lo necesiten los ciberdelincuentes.
Una vez en funcionamiento, el malware permite a los ciberdelincuentes controlar por completo el servidor de correo Exchange. Desde ahí pueden llevar a cabo todo tipo de acciones maliciosas. Para evitar ser detectado por los sistemas de seguridad, el programa se camufla como si fuera una parte legítima del servidor y usa varias técnicas para pasar desapercibido. Además, puede actuar como un intermediario o un canal oculto, lo que abre la puerta a conexiones externas no autorizadas o incluso al robo de información confidencial desde dentro de la red. Por todo esto, se cree que el objetivo principal de esta operación es el ciberespionaje.
“El análisis exhaustivo nos ha demostrado que los ciberdelincuentes poseen un alto nivel de conocimiento técnico, tanto en la explotación de sistemas Exchange como en el uso de proyectos de código abierto enfocados a infiltrar entornos IIS y Exchange. También dominan la creación y mejora de herramientas de espionaje complejas basadas en código público. Seguiremos observando su actividad, así como el alcance y la magnitud de estos ataques, para comprender mejor el panorama de amenazas” afirma Sergey Lozhkin, jefe del equipo GReAT para las regiones de APAC y META.
Por el momento, no ha sido posible atribuir GhostContainer a ningún grupo conocido de ciberdelincuentes, ya que estos no han dejado expuesta ninguna infraestructura. El malware incorpora código de varios proyectos de código abierto accesibles públicamente, lo que permite que tanto ciberdelincuentes como grupos APT de todo el mundo puedan utilizarlo. Cabe destacar que, a finales de 2024, se identificaron 14.000 paquetes maliciosos en proyectos de código abierto, lo que representa un aumento del 48 % respecto al cierre de 2023 y pone de manifiesto el creciente riesgo en este ámbito.
Te puede interesar
- Ransomware Threat Intelligence Report: la IA se une a la plantilla, los grupos de ciberdelincuentes aumentan y las tasas de pago se desploman
- Microsoft mantiene el liderazgo en suplantación de identidad y Spotify reaparece entre las 10 marcas más imitadas en ataques de phishing
- Ciberseguridad en las pymes españolas: el reto inminente que no pueden ignorar
