OceanLotus, el famoso por sus actividades criminales en el sudeste de Asia, ha incorporado en su estrategia el uso de un nuevo backdoor. Así lo afirma el último informe del laboratorio de ESET que busca destapar las últimas campañas maliciosas llevadas a cabo por el conocido grupo de ciberdelincuentes.

La empresa de ciberseguridad ha descubierto que este grupo utiliza fundamentalmente técnicas clásicas, que siguen dándoles buenos resultados, pero han aumentado complejidad a sus ataques añadiendo un blackdoor que, una vez instalado, permanece en el sistema infectado. Los ciberdelincuentes utilizan diferentes métodos para convencer al usuario de que ejecute el backdoor y una vez conseguido, consigue permanecer escondido en el sistema. “Su intención de permanecer escondidos y elegir a sus objetivos cuidadosamente” afirman desde ESET.

En la investigación llevada a cabo, los expertos de ESET han descubierto que los delincuentes utilizan varios métodos para engañar a las víctimas potenciales, como el uso de extensiones dobles o iconos falsos para camuflar sus amenazas como documentos ofimáticos de Word o archivos PDF. Normalmente estos anzuelos aparecen como adjuntos en correos electrónicos, aunque ESET también ha descubierto instaladores falsos y actualizaciones de software usados para distribuir el mismo backdoor.

Las redes gubernamentales y empresas del sudeste asiático son sus víctimas predilectas

Las actividades de OceanLotus se centran en redes gubernamentales y en empresas del sudeste asiático, sobre todo en Vietnam, Filipinas, Laos y Camboya. 

En la investigación, además, ESET demuestra cómo el último backdoor de OceanLotus es capaz de ejecutar software malicioso en el sistema. El proceso de instalación se apoya en un documento señuelo que se envía a la víctima potencial y desde el momento en el que se instala, realiza múltiples operaciones en la memoria siguiendo técnicas de carga que ejecutan completamente el malware en el sistema.

Según afirma Alexis Dorais-Joncas, responsable del equipo de inteligencia de la seguridad en ESET, OceanLotus trabaja para limitar la distribución del malware y utilizar diferentes servidores que eviten llamar la atención sobre una sola dirección IP o un dominio concreto. Cifrando el payload y combinándolo con las técnicas de carga lateral, OceanLotus puede evitar los sistemas de detección y aparecer como una aplicación legítima.

Sin embargo, a pesar de que los ciberdelincuentes han intentado mantener secretas sus operaciones, “el sistema de inteligencia sobre amenazas de ESET ha mostrado datos concluyentes sobre cómo este grupo de delincuentes actualiza de forma continua sus herramientas para mantenerse activos”, añade Romain Dumont, investigador de ESET.

About Author

Desiree Rodriguez

Responsable de Globb Security France y España. Periodista, Comunicadora Audiovisual y editora. Antes de unirse a GlobbTV, desarrolló la mayor parte de su carrera profesional en el grupo editorial de Madiva. Twitter: @Drodriguezleal.

Deja un comentario