Un clúster de actividad de amenazas previamente desconocido dirigió a las organizaciones europeas, particularmente aquellas en el sector de la salud, para implementar a Plugx y su sucesor, ShadowPad, con las intrusiones que finalmente conducen al despliegue de un ransomware llamado Nailaolocker en algunos casos.
La campaña, con nombre en código Green Nailao de Orange CyberDefense Cert, implicó la explotación de una falla de seguridad nueva en Check Point Network Gateway Products (CVE-2024-24919, puntaje CVSS: 7.5). Los ataques se observaron entre junio y octubre de 2024.
«La campaña se basó en el secuestro de orden de búsqueda de DLL para implementar ShadowPad y Plugx: dos implantes a menudo asociados con las intrusiones dirigidas por China-Nexus», dijo la compañía en un informe técnico compartido con Hacker News.
Se dice que el acceso inicial brindado por la explotación de instancias de punto de control vulnerables permitió a los actores de amenaza recuperar las credenciales de los usuarios y conectarse a la VPN utilizando una cuenta legítima.
En la siguiente etapa, los atacantes llevaron a cabo el reconocimiento de la red y el movimiento lateral a través del Protocolo de escritorio remoto (RDP) para obtener privilegios elevados, seguido de la ejecución de un binario legítimo («Logger.exe») para acertar una dll deshilachada («Logexts.dll» ) que luego sirve como cargador para una nueva versión del malware ShadowPad.
Se ha encontrado que las iteraciones anteriores de los ataques detectados en agosto de 2024 aprovechan la artesanía similar para entregar a Plugx, que también emplea la carga lateral de DLL utilizando un ejecutable de McAfee («mcoemcpy.exe») a Sideload «mcutil.dll».
Al igual que Plugx, ShadowPad es un malware vendido privado que es utilizado exclusivamente por los actores de espionaje chinos desde al menos 2015. La variante identificada por Orange CyberDefense CERT presenta una ofuscación sofisticada y medidas anti-debug, junto con la comunicación con un servidor remoto para crear acceso remoto persistente a un acceso remoto a la persistente a Sistemas de víctimas.
Hay evidencia que sugiere que los actores de amenaza intentaron exfiltrar datos accediendo al sistema de archivos y creando archivos zip. Las intrusiones culminan con el uso de Windows Management Instrumentation (WMI) para transmitir tres archivos, un ejecutable legítimo firmado por Beijing Huorong Network Technology Co., Ltd («usysdiag.exe»), un cargador llamado Nailaoloader («Sensapi.dll») , y Nailaolocker («usysdiag.exe.dat»).
Una vez más, el archivo DLL se acompaña a través de «usysdiag.exe» para descifrar y activar la ejecución de Nailaolocker, un ransomware basado en C ++ que encripta los archivos, los agrega con una extensión «. Para realizar un pago de bitcoin o contactarlos en una dirección de correo de protones.
«Nailaolocker es relativamente poco sofisticado y mal diseñado, aparentemente no tiene la intención de garantizar el cifrado completo», dijeron los investigadores Marine Pichon y Alexis Bonnefoi.
«No escanea las acciones de la red, no detiene los servicios o procesos que podrían evitar el cifrado de ciertos archivos importantes, (y) no controla si se está depurando».
Orange ha atribuido la actividad con confianza media a un actor de amenaza alineado en chino debido al uso del implante de shadowpad, el uso de técnicas de carga lateral de DLL y el hecho de que se han atribuido esquemas de ransomware similares a otro grupo de amenazas chino denominado Luz de las estrellas.
Además, el uso de «usysdiag.exe» a las cargas útiles de la próxima etapa se ha observado previamente en ataques montados por un conjunto de intrusiones vinculado a China rastreado por Sophos bajo el nombre de clúster Alpha (también conocido como STAC1248).
Si bien los objetivos exactos de la campaña de espionaje-cum-ransomware no están claros, se sospecha que los actores de amenaza buscan obtener ganancias rápidas.
«Esto podría ayudar a explicar el contraste de sofisticación entre Shadowpad y Nailaolocker, con Nailaolocker a veces incluso intentando imitar las técnicas de carga de Shadowpad», dijeron los investigadores. «Si bien tales campañas a veces se pueden realizar de manera oportunista, a menudo permiten a los grupos de amenazas acceder a sistemas de información que se pueden utilizar más tarde para llevar a cabo otras operaciones ofensivas».