El grupo Dragon Breath despliega el loader RONINGLOADER para distribuir Gh0st RAT modificado
Introducción
En las últimas semanas, investigadores de Elastic Security Labs han detectado una sofisticada campaña de ciberataques dirigida principalmente a usuarios de habla china. El actor de amenazas conocido como Dragon Breath ha desplegado un nuevo loader multifase, denominado RONINGLOADER, cuyo objetivo es instalar una variante modificada del conocido troyano de acceso remoto Gh0st RAT. Los atacantes están utilizando instaladores NSIS troyanizados que simulan ser aplicaciones legítimas como Google Chrome y Microsoft Teams, aumentando la probabilidad de infección en entornos corporativos y personales.
Contexto del Incidente
Dragon Breath, también conocido en algunas fuentes como APT-Q-27, es un grupo de ciberamenazas vinculado históricamente a campañas de espionaje y robo de información en Asia Oriental. Su última campaña representa una evolución en sus técnicas de distribución de malware, aprovechando la ingeniería social y la suplantación de software popular para maximizar la tasa de infección. La campaña se ha dirigido principalmente a usuarios de China y países limítrofes, donde la adopción de aplicaciones como Chrome o Teams es extensa, y donde las restricciones de acceso a software legítimo suelen empujar a los usuarios a fuentes no oficiales.
Detalles Técnicos
La campaña utiliza instaladores NSIS (Nullsoft Scriptable Install System) troyanizados, una técnica que permite empaquetar código malicioso junto a aplicaciones legítimas. El loader RONINGLOADER actúa como intermediario, permitiendo una carga progresiva y encadenada de payloads.
– CVE relacionadas: Aunque RONINGLOADER no explota una vulnerabilidad específica, sí aprovecha la falta de verificación de integridad y firma digital en los instaladores descargados por los usuarios.
– Vector de ataque: Ingeniería social a través de la distribución de instaladores falsos en foros, redes P2P y sitios de descargas no oficiales.
– TTP MITRE ATT&CK:
– Initial Access (T1195): Supply Chain Compromise.
– Execution (T1059): Command and Scripting Interpreter.
– Defense Evasion (T1027): Obfuscated Files or Information.
– Persistence (T1547): Boot or Logon Autostart Execution.
– Indicator of Compromise (IoC):
– Hashes de archivos NSIS maliciosos.
– Cadenas de conexión y C2 de Gh0st RAT modificados.
– Actividad sospechosa en puertos TCP típicos (como 80, 443 y 8080).
– Frameworks asociados: Se han identificado módulos generados mediante Metasploit para pruebas de intrusión, y comportamientos compatibles con Cobalt Strike en la fase de post-explotación.
El payload final es una variante modificada de Gh0st RAT, un RAT de código abierto ampliamente utilizado en ataques APT desde 2010. Esta variante presenta capacidades adicionales de evasión y persistencia, dificultando su detección por parte de soluciones EDR tradicionales.
Impacto y Riesgos
Según los datos recopilados por Elastic Security Labs, la campaña habría afectado a cientos de organizaciones, con una estimación de 2.500 endpoints comprometidos en el primer trimestre de 2024. El impacto potencial abarca desde el robo de credenciales y espionaje corporativo, hasta la exfiltración de información confidencial y la apertura de puertas traseras persistentes.
El uso de Gh0st RAT modificado permite a los atacantes:
– Control remoto total de los sistemas infectados.
– Captura de pulsaciones de teclado y capturas de pantalla.
– Exfiltración de documentos y archivos sensibles.
– Manipulación de procesos y evasión de controles de seguridad.
Las consecuencias económicas pueden ser elevadas, con incidentes similares en la región que han reportado pérdidas superiores a los dos millones de euros por fuga de información y costes de respuesta.
Medidas de Mitigación y Recomendaciones
Para reducir el riesgo de infección, se recomienda:
– Descarga de software únicamente desde repositorios oficiales y verificados.
– Implementación de políticas estrictas de ejecución de aplicaciones, restringiendo instaladores no firmados.
– Monitorización continua de endpoints con EDRs avanzados y capacidades de threat hunting.
– Detección y bloqueo de IoCs asociados a RONINGLOADER y Gh0st RAT en firewalls y SIEM.
– Formación a usuarios sobre riesgos de ingeniería social y suplantación de software.
– Actualización regular de sistemas y auditoría de integridad de archivos binarios críticos.
Opinión de Expertos
Profesionales del sector como Raúl Siles, analista senior de ciberseguridad, advierten: “La sofisticación de RONINGLOADER y el uso de instaladores NSIS troyanizados muestran una clara tendencia al abuso de la cadena de suministro digital. Las organizaciones no pueden confiar únicamente en la detección basada en firmas, sino que deben adoptar un enfoque proactivo y multicapa”.
Por su parte, expertos de Elastic Security Labs subrayan la importancia de la monitorización del tráfico de red y la correlación de eventos para identificar comportamientos anómalos asociados a RATs y loaders multifase.
Implicaciones para Empresas y Usuarios
Empresas sujetas al GDPR y próximas a la entrada en vigor de NIS2 deben extremar la vigilancia, ya que una brecha de este tipo puede acarrear sanciones de hasta el 4% de la facturación anual. La tendencia al empleo de loaders avanzados y la manipulación de instaladores legítimos obliga a revisar los procedimientos de distribución de software y la cadena de confianza interna.
Para usuarios finales y teletrabajadores, el riesgo de infección se incrementa ante la proliferación de versiones falsas de aplicaciones populares, lo que puede facilitar el movimiento lateral hacia redes corporativas.
Conclusiones
La campaña de Dragon Breath con RONINGLOADER y Gh0st RAT modificado supone un salto cualitativo en la distribución de malware en Asia, con potencial de expansión global. La combinación de ingeniería social, loaders multifase y RATs evolucionados plantea un desafío significativo para los equipos de ciberseguridad, que deben reforzar sus controles, estrategias de formación y vigilancia activa ante amenazas emergentes.
(Fuente: feeds.feedburner.com)