Un grupo avanzado de amenaza persistente (APT) alineada por China Thewizards se ha relacionado con una herramienta de movimiento lateral llamada SpellBinder que puede facilitar los ataques adversarios en el medio (AITM).
«SpellBinder permite ataques adversarios en el medio (AITM), a través de la autoconfiguración de la autoconfiguración de la dirección de estado IPv6 (SLAAC), que se mueva lateralmente en la red comprometida, interceptando paquetes y redirigiendo el tráfico del software legítimo de los chinos de modo que descargue actualizaciones maliciosas de un servidor controlado por los atacantes», dice los investigadores Eset FacUNDOZ en un informe de los informes.
El ataque allana el camino para un descargador malicioso que se entrega al secuestrar el mecanismo de actualización de software asociado con Sogou Pinyin. El descargador luego actúa como un conducto para soltar un modular puerta en el nombre en código Wizardnet.
Esta no es la primera vez que los actores de amenaza china han abusado del proceso de actualización de software de Sogou Pinyin para entregar su propio malware. En enero de 2024, ESET detalló un grupo de piratería conocido como Blackwood que ha implementado un implante llamado NSPX30 aprovechando el mecanismo de actualización de la aplicación de software de método de entrada chino.
Luego, a principios de este año, la compañía de ciberseguridad eslovaco reveló otro clúster de amenazas conocido como Plushdaemon que aprovechó la misma técnica para distribuir un descargador personalizado llamado Littledaemon.
Se sabe que TheWizards APT se dirige tanto a los individuos como a los sectores de juego en Camboya, Hong Kong, China continental, Filipinas y los Emiratos Árabes Unidos.
La evidencia sugiere que el actor de amenazas ha utilizado la herramienta SpellBinder IPv6 AITM desde al menos 2022. Si bien el vector de acceso inicial exacto utilizado en los ataques es desconocido en esta etapa, el acceso exitoso es seguido por la entrega de un archivo ZIP que contiene cuatro archivos diferentes: avgapplicationframehost.exe, wsc.dll, log.dat y winpcap.xe.
Los actores de la amenaza luego proceden a instalar «WinPCap.exe» y ejecutar «AvgapplicationFrameHost.exe», este último se abusa de resaltar la DLL. El archivo DLL posteriormente lee ShellCode de «Log.Dat» y lo ejecuta en la memoria, lo que hace que SpellBinder se inicie en el proceso.
«Spellbinder usa la biblioteca WinPCAP para capturar paquetes y responder a los paquetes cuando sea necesario», explicó Muñoz. «Aprovecha el protocolo de descubrimiento de red de IPv6 en el que los mensajes del anuncio del enrutador ICMPV6 (RA) anuncian que un enrutador con capacidad de IPv6 está presente en la red para que los hosts que admiten IPv6, o soliciten un enrutador con capacidad para IPv6, puedan adoptar el dispositivo publicitario como su puerta de entrada predeterminada».
En un caso de ataque observado en 2024, se dice que los actores de amenaza utilizaron este método para secuestrar el proceso de actualización de software para Tencent QQ a nivel DNS para servir una versión troyana que luego implementa WizardNet, una puerta trasera modular que está equipada para recibir y ejecutar cargas de pago .NET en el host infectado.
SpellBinder logra interceptando la consulta DNS para el dominio de actualización de software («update.browser.qq (.) Com») y emitiendo una respuesta DNS con la dirección IP de un servidor controlado por el atacante («43.155.62 (.) 54») que aloja la actualización maliciosa.
Otra herramienta notable en el Arsenal de TheWizards es Darknights, que también se llama Darknimbus por Trend Micro y se ha atribuido a otro grupo de piratería chino rastreado como Minotauro de la Tierra. Dicho esto, ambos grupos están siendo tratados como operadores independientes, citando diferencias en las herramientas, la infraestructura y las huellas de focalización.
Desde entonces, se ha surgido que un contratista del Ministerio de Seguridad Pública china llamada Sichuan Dianke Network Security Technology Co., Ltd. (también conocido como UPSEC) es el proveedor del malware Darknimbus.
«Si bien TheWizards usa una puerta trasera diferente para Windows (WizardNet), el servidor de secuestro está configurado para servir a Darknights para actualizar aplicaciones que se ejecutan en dispositivos Android», dijo Muñoz. «Esto indica que Dianke Network Security es un intendente digital para TheWizards Apt Group».