El actor de amenaza conocido como Pirates Space se ha vinculado a una campaña maliciosa dirigida a organizaciones de tecnología de la información rusa (TI) con un malware previamente indocumentado llamado Luckystrike Agent.
La actividad fue detectada en noviembre de 2024 por Solar, el protección de ciberseguridad de la compañía de telecomunicaciones estatal rusa Rostelecom. Está rastreando la actividad bajo el nombre Erudite Mogwai.
Los ataques además se caracterizan por el uso de otras herramientas como Deed Rat, además citación ShadowPad Light, y una lectura personalizada de la utilidad proxy citación Stowaway, que previamente ha sido utilizada por otros grupos de piratería vinculados a China.
“Erudite Mogwai es uno de los grupos APT activos especializados en el robo de información confidencial y espionaje”, dijeron los investigadores solares. “Desde al menos 2017, el conjunto ha estado atacando a las agencias gubernamentales, los departamentos de TI de varias organizaciones, así como las empresas relacionadas con industrias de reincorporación tecnología como la energía aeroespacial y eléctrica”.
El actor de amenaza fue documentado públicamente por tecnologías positivas en 2022, que detalla su uso exclusivo del malware de rata de escritura. Se cree que el conjunto comparte superposiciones tácticas con otro conjunto de piratería llamado Webworm. Es conocido por dirigirse a organizaciones en Rusia, Georgia y Mongolia.
En uno de los ataques dirigidos a un cliente del sector público, Solar dijo que descubrió que el atacante desplegó varias herramientas para allanar el gratitud, al tiempo que dejó caer Luckystrike Agent, una puerta trasera multifuncional .NET que utiliza Microsoft OneDrive para comando y control (C2).
“Los atacantes obtuvieron camino a la infraestructura al comprometer un servicio web accesible públicamente a más tardar en marzo de 2023, y luego comenzaron a inquirir ‘frutas de bajo paso’ en la infraestructura”, dijo Solar. “En el transcurso de 19 meses, los atacantes se extendieron lentamente por los sistemas del cliente hasta que llegaron a los segmentos de la red conectados al monitoreo en noviembre de 2024”.
Además es trascendente el uso de una lectura modificada de Stowaway para retener solo su funcionalidad proxy, próximo con el uso de LZ4 como cálculo de compresión, incorporando XXTEA como un cálculo de criptográfico y agregando soporte para el protocolo de transporte de Quic.
“Erudite Mogwai comenzó su alucinación para modificar esta utilidad reduciendo la funcionalidad que no necesitaban”, dijo Solar. “Continuaron con ediciones menores, como renombrar las funciones y cambiar los tamaños de estructuras (probablemente para derribar las firmas de detección existentes). En este momento, la lectura de Stowaway utilizada por este conjunto se puede vocear un bífido completo”.
