El grupo de amenazas persistentes avanzadas (APT) conocido como APT41, vinculado a China, está utilizando una versión “avanzada y mejorada” de un malware conocido como StealthVector para desplegar una puerta trasera previamente no documentada llamada MoonWalk.
La nueva variante de StealthVector – también conocida como DUSTPAN – ha sido denominada DodgeBox por Zscaler ThreatLabz, que descubrió esta cepa del cargador en abril de 2024.
“DodgeBox es un cargador que procede a cargar una nueva puerta trasera llamada MoonWalk”, dijeron los investigadores de seguridad Yin Hong Chang y Sudeep Singh. “MoonWalk comparte muchas técnicas de evasión implementadas en DodgeBox y utiliza Google Drive para la comunicación de comando y control (C2)”.
APT41 es el nombre asignado a un actor de amenazas patrocinado por el estado chino que se sabe que está activo desde al menos 2007. También es conocido en la comunidad de ciberseguridad bajo los nombres Axiom, Blackfly, Brass Typhoon (anteriormente Barium), Bronze Atlas, Earth Baku, HOODOO, Red Kelpie, TA415, Wicked Panda, y Winnti.
Antecedentes y Actividades del Grupo APT41
En septiembre de 2020, el Departamento de Justicia de los EE.UU. (DoJ) anunció la acusación de varios actores de amenazas asociados con este grupo por orquestar campañas de intrusión que afectaron a más de 100 empresas en todo el mundo.
“Las intrusiones […] facilitaron el robo de código fuente, certificados de firma de software, datos de cuentas de clientes e información empresarial valiosa”, dijo el DoJ en ese momento, añadiendo que también permitieron “otros esquemas criminales, incluyendo ransomware y esquemas de ‘crypto-jacking'”.
En los últimos años, el grupo de amenazas ha sido vinculado a brechas en redes gubernamentales estatales de EE.UU. entre mayo de 2021 y febrero de 2022, además de ataques a organizaciones mediáticas taiwanesas utilizando una herramienta de red de código abierto conocida como Google Command and Control (GC2).
Técnica y Distribución del Malware
El uso de StealthVector por parte de APT41 fue documentado por primera vez por Trend Micro en agosto de 2021, describiéndolo como un cargador de shellcode escrito en C/C++ que se utiliza para entregar Cobalt Strike Beacon y un implante de shellcode llamado ScrambleCross (también conocido como SideWalk).
DodgeBox se evalúa como una versión mejorada de StealthVector, que también incorpora diversas técnicas como el spoofing de la pila de llamadas, el DLL side-loading y el DLL hollowing para evadir la detección. Actualmente se desconoce el método exacto mediante el cual se distribuye el malware.
“APT41 emplea el DLL side-loading como un medio para ejecutar DodgeBox”, dijeron los investigadores. “Utilizan un ejecutable legítimo (taskhost.exe), firmado por Sandboxie, para cargar un DLL malicioso (sbiedll.dll)”.
El DLL malicioso (es decir, DodgeBox) es un cargador DLL escrito en C que actúa como un conducto para descifrar y lanzar una carga útil de segunda etapa, la puerta trasera MoonWalk.
La atribución de DodgeBox a APT41 se basa en las similitudes entre DodgeBox y StealthVector; el uso de DLL side-loading, una técnica ampliamente utilizada por grupos vinculados a China para desplegar malware como PlugX; y el hecho de que las muestras de DodgeBox han sido enviadas a VirusTotal desde Tailandia y Taiwán.
“DodgeBox es un cargador de malware recién identificado que emplea múltiples técnicas para evadir tanto la detección estática como la de comportamiento”, dijeron los investigadores.
“Ofrece varias capacidades, incluyendo el descifrado y la carga de DLLs embebidos, la realización de comprobaciones de entorno y vinculaciones, y la ejecución de procedimientos de limpieza”.