El actor de amenaza conocido como Pirates Space se ha vinculado a una campaña maliciosa dirigida a organizaciones de tecnología de la información rusa (TI) con un malware previamente indocumentado llamado Luckystrike Agent.
La actividad fue detectada en noviembre de 2024 por Solar, el brazo de ciberseguridad de la compañía de telecomunicaciones estatal rusa Rostelecom. Está rastreando la actividad bajo el nombre Erudite Mogwai.
Los ataques también se caracterizan por el uso de otras herramientas como Deed Rat, también llamada ShadowPad Light, y una versión personalizada de la utilidad proxy llamada Stowaway, que previamente ha sido utilizada por otros grupos de piratería vinculados a China.
«Erudite Mogwai es uno de los grupos APT activos especializados en el robo de información confidencial y espionaje», dijeron los investigadores solares. «Desde al menos 2017, el grupo ha estado atacando a las agencias gubernamentales, los departamentos de TI de varias organizaciones, así como las empresas relacionadas con industrias de alta tecnología como la energía aeroespacial y eléctrica».
El actor de amenaza fue documentado públicamente por tecnologías positivas en 2022, que detalla su uso exclusivo del malware de rata de escritura. Se cree que el grupo comparte superposiciones tácticas con otro grupo de piratería llamado Webworm. Es conocido por dirigirse a organizaciones en Rusia, Georgia y Mongolia.
En uno de los ataques dirigidos a un cliente del sector gubernamental, Solar dijo que descubrió que el atacante desplegó varias herramientas para facilitar el reconocimiento, al tiempo que dejó caer Luckystrike Agent, una puerta trasera multifuncional .NET que utiliza Microsoft OneDrive para comando y control (C2).
«Los atacantes obtuvieron acceso a la infraestructura al comprometer un servicio web accesible públicamente a más tardar en marzo de 2023, y luego comenzaron a buscar ‘frutas de bajo paso’ en la infraestructura», dijo Solar. «En el transcurso de 19 meses, los atacantes se extendieron lentamente por los sistemas del cliente hasta que llegaron a los segmentos de la red conectados al monitoreo en noviembre de 2024».
También es notable el uso de una versión modificada de Stowaway para retener solo su funcionalidad proxy, junto con el uso de LZ4 como algoritmo de compresión, incorporando XXTEA como un algoritmo de cifrado y agregando soporte para el protocolo de transporte de Quic.
«Erudite Mogwai comenzó su viaje para modificar esta utilidad reduciendo la funcionalidad que no necesitaban», dijo Solar. «Continuaron con ediciones menores, como renombrar las funciones y cambiar los tamaños de estructuras (probablemente para derribar las firmas de detección existentes). En este momento, la versión de Stowaway utilizada por este grupo se puede llamar un bifurcado completo».