El infostealer solo activa su carga en sistemas con Cobra DocGuard instalado y busca específicamente documentos sobre misiles Dongfeng-27. Symantec y Carbon Black atribuyen la campaña al actor Runningcrab.
Investigadores de los equipos Threat Hunter de Symantec y Carbon Black han descubierto una nueva amenaza de malware parasitaria denominada Infostealer.Speagle, diseñada para secuestrar la funcionalidad e infraestructura del software legítimo de seguridad documental Cobra DocGuard.
El malware, atribuido provisionalmente a un actor de amenazas bautizado como Runningcrab, recopila silenciosamente información sensible de los sistemas infectados y la transmite a servidores de Cobra DocGuard que han sido comprometidos previamente por los atacantes, enmascarando la exfiltración como comunicaciones legítimas entre cliente y servidor. Lo más inquietante es que una de las variantes del malware busca activamente documentos relacionados con misiles balísticos chinos, específicamente el modelo Dongfeng-27 (DF-27).
Cobra DocGuard es una plataforma de seguridad y cifrado de documentos desarrollada por la empresa china EsafeNet que ya ha sido comprometida en al menos dos ocasiones anteriores.
En mayo de 2023 ESET documentó un ataque a la cadena de suministro contra una empresa de juego en Hong Kong perpetrado en septiembre de 2022.
En agosto del mismo año, Symantec identificó al grupo APT Carderbee utilizando el mismo software para desplegar el backdoor Korplug (PlugX) contra múltiples organizaciones en Hong Kong y otros países asiáticos. Según el reporte publicado por Security.com, Speagle representa la tercera campaña documentada que abusa de esta plataforma, lo que sugiere que los atacantes han identificado tanto su vulnerabilidad percibida como su alta tasa de adopción entre organizaciones objetivo.
El análisis técnico revela que Speagle es un ejecutable .NET de 32 bits que exhibe un comportamiento altamente selectivo. El malware solo recopila y exfiltra datos si detecta que el sistema tiene instalado el software de protección de datos Cobra DocGuard, verificando su presencia a través de claves de registro específicas como HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Esafenet\CDG System\"InstallDir".
Esta característica indica un objetivo deliberado, posiblemente orientado a facilitar la recolección de inteligencia o el espionaje industrial. Los investigadores consideran dos hipótesis principales: que se trate del trabajo de un actor patrocinado por un Estado o de un contratista privado disponible para contratación.
La recolección y exfiltración de datos se ejecuta en fases discretas, lo que permite a los atacantes obtener al menos información parcial si el malware es interrumpido durante alguna etapa posterior. En la primera fase, Speagle construye una estructura denominada "ErrorReport" que almacena detalles como el nombre de usuario de Windows, el nombre del host, un identificador de cliente extraído del archivo UniqueClientCode.ini y un identificador adicional del archivo PackageInfo.ini. Posteriormente, el malware serializa estos datos como XML, los comprime con el algoritmo Deflate y los cifra mediante AES-128 en modo CBC con relleno PKCS#7, utilizando los primeros 16 bytes del digest SHA256 de una cadena hardcodeada como clave de cifrado.
El vector de infección permanece sin confirmar, aunque existen indicios de que podría haberse distribuido mediante un ataque a la cadena de suministro. El hecho de que Speagle invoque un driver legítimo de Cobra DocGuard para autoeliminarse sugiere que los desarrolladores del malware tienen conocimiento profundo del software y posiblemente accedieron a versiones firmadas del mismo.
Las organizaciones que utilizan Cobra DocGuard en entornos corporativos deben monitorear comunicaciones salientes hacia servidores de esta plataforma, revisar logs de actualizaciones recientes del software y considerar el despliegue de reglas EDR que detecten la ejecución de binarios .NET que interactúen con las rutas de registro específicas del producto EsafeNet.
FUENTE ORIGINAL
Security.com↗CURADO POR
Alejandro Vargas