Los hackers siempre encuentran formas ingeniosas de evadir la seguridad, y esta vez no es la excepción. Se ha descubierto que el grupo de piratería chino Mustang Panda (también conocido como Earth Preta) está utilizando una herramienta legítima de Microsoft, App-V Injector, para inyectar malware en procesos legítimos y burlar los antivirus sin dejar rastro.
Lo curioso (y preocupante) es que no están aprovechando una falla en el software, sino usando una herramienta oficial de Microsoft como arma digital. Básicamente, toman algo diseñado para ayudar a las empresas y lo convierten en un método de ataque. Y lo peor: esta técnica ha sido efectiva contra más de 200 víctimas desde 2022.
Mustang Panda sigue haciendo de las suyas, y esta vez su blanco principal son entidades gubernamentales en la región de Asia-Pacífico. Su táctica favorita para entrar: correos de phishing que parecen venir de agencias gubernamentales, ONG, grupos de expertos o incluso fuerzas del orden. Básicamente, un engaño muy bien armado para hacer que la víctima baje la guardia.
Este grupo ya ha sido visto antes atacando gobiernos de todo el mundo con técnicas bastante sofisticadas, como usar Google Drive para distribuir malware, crear puertas traseras personalizadas y hasta desplegar gusanos para expandir sus ataques. Ahora, su método más reciente involucra un archivo adjunto malicioso dentro de estos correos.
Si la víctima cae en la trampa y abre el archivo adjunto (un instalador llamado IRSetup.exe), este descarga varios archivos en la carpeta C:\ProgramData\session, mezclando archivos legítimos con malware y, para despistar, un PDF señuelo. Así, mientras la víctima se distrae con el documento, el verdadero ataque ya está en marcha en segundo plano.
Archivos descargados en el dispositivo infectado (Fuente: Trend Micro)
Cuando Mustang Panda se encuentra con un antivirus en una máquina comprometida, no se da por vencido. En lugar de eso, usa un truco ingenioso para evadir la detección, aprovechando herramientas preinstaladas en Windows 10 y versiones posteriores.
Uno de sus métodos es abusar de Microsoft Application Virtualization Injector (MAVInject.exe), un ejecutable legítimo de Windows que permite inyectar código en procesos en ejecución. Esta herramienta fue diseñada originalmente para la virtualización de aplicaciones de Microsoft (App-V), pero también puede utilizarse para ejecutar DLL dentro de otros procesos, algo común en pruebas y automatización.
El problema es que, en 2022, expertos en ciberseguridad advirtieron que MAVInject.exe podía ser explotado como LOLBIN (un binario legítimo usado con fines maliciosos). A pesar de estas advertencias, sigue siendo una puerta abierta que los atacantes pueden aprovechar.
Mustang Panda utiliza MAVInject.exe para inyectar malware en ‘waitfor.exe’, otra herramienta legítima de Windows que normalmente sincroniza procesos en diferentes máquinas esperando una señal o comando antes de ejecutar una tarea. Como ‘waitfor.exe’ es un proceso confiable del sistema, el malware que se oculta dentro de él pasa desapercibido, evadiendo la detección de muchos antivirus.
El malware que Mustang Panda inyecta en waitfor.exe no es cualquier virus. Se trata de una versión modificada de la puerta trasera TONESHELL, que llega camuflada dentro de un archivo DLL llamado EACore.dll.
Una vez que logra ejecutarse, lo primero que hace es conectarse a su servidor de comando y control en militarytc[.]com:443. Desde ahí, envía información clave sobre el sistema infectado y la identidad de la víctima, preparando el terreno para el siguiente paso del ataque.
Descripción del ataque Mustang Panda
Te podrá interesar leer: Hackers Chinos Espían EE.UU. a Través de Hardware de Cisco
Este malware no solo roba información, también le da a los atacantes control total sobre el sistema infectado. A través de un shell inverso, pueden ejecutar comandos de forma remota, mover archivos, eliminarlos y básicamente hacer lo que quieran dentro de la máquina comprometida. Por sus características y la forma en que descifra paquetes, todo apunta a que esta variante es una herramienta personalizada de Mustang Panda. Sin embargo, no todos los expertos están de acuerdo con los hallazgos.
Los hackers no dejan de innovar, y el abuso de Microsoft App-V es solo otro ejemplo de cómo pueden convertir herramientas legítimas en armas digitales. Al ser un software confiable de Microsoft, muchos antivirus tradicionales no detectan su uso malicioso, lo que deja una brecha de seguridad que los atacantes pueden aprovechar. Entonces, ¿cómo puedes protegerte ante este tipo de amenazas avanzadas?
La seguridad no es solo cuestión de instalar herramientas; se trata de estar siempre un paso adelante. Los ataques seguirán evolucionando, pero con las estrategias adecuadas, las organizaciones pueden reducir significativamente su exposición y evitar ser la próxima víctima.