Deadglyph: Nuevo Backdoor Avanzado

Deadglyph: Nuevo Backdoor Avanzado

Investigadores de ciberseguridad han descubierto un backdoor avanzado previamente no documentado llamado Deadglyph, utilizado por un actor de amenazas conocido como Stealth Falcon en una campaña de ciberespionaje. La arquitectura de Deadglyph es inusual ya que consta de componentes cooperativos: uno es un binario nativo x64 y el otro una asamblea .NET. Se sospecha que el uso de diferentes lenguajes de programación es una táctica deliberada para dificultar el análisis.

A diferencia de otros backdoors tradicionales, Deadglyph recibe comandos de un servidor controlado por el actor en forma de módulos adicionales que le permiten crear nuevos procesos, leer archivos y recopilar información de los sistemas comprometidos.

Stealth Falcon, también conocido como FruityArmor, fue expuesto por primera vez en 2016 por Citizen Lab, vinculándolo a ataques de spyware dirigidos en Medio Oriente a periodistas, activistas y disidentes en los EAU. Una investigación posterior reveló una operación llamada "Project Raven" que involucraba a ex operativos de inteligencia de EE.UU. reclutados por una firma de ciberseguridad llamada DarkMatter para espiar a objetivos críticos de la monarquía árabe.

Deadglyph es la última adición al arsenal de Stealth Falcon, según la firma de ciberseguridad eslovaca ESET, que analizó una intrusión en una entidad gubernamental no especificada en Medio Oriente. El método exacto utilizado para entregar el implante es desconocido, pero el componente inicial que activa su ejecución es un cargador de shellcode que extrae y carga shellcode del Registro de Windows.

Deadglyph recibe su nombre de artefactos encontrados en el backdoor, junto con la presencia de un ataque homoglyph que se hace pasar por Microsoft en el cargador de shellcode del Registro. El backdoor cuenta con varios mecanismos de contra-detección y es capaz de desinstalarse para minimizar la probabilidad de su detección.

Fuente: The Hacker News.