Una reciente campaña de ciberataques ha puesto bajo la lupa a organizaciones en Estados Unidos y México, tras detectarse una operación dirigida contra un grupo comercial y un instituto de investigación. El responsable es FamousSparrow, un actor de amenazas vinculado a China que ha desplegado nuevas tácticas y herramientas en su arsenal. En esta ocasión, se identificó el uso de ShadowPad, un malware sofisticado utilizado por varios grupos patrocinados por el estado chino, marcando la primera vez que este actor lo implementa.
Junto con ShadowPad, se detectaron dos nuevas variantes no documentadas de SparrowDoor, el backdoor característico de FamousSparrow. Una de ellas incorpora una arquitectura modular, y ambas muestran avances técnicos notables, como la capacidad de ejecutar comandos en paralelo, lo que mejora su velocidad y eficiencia.
¿Quién es FamousSparrow y cómo opera este grupo de ciberataques?
FamousSparrow fue identificado por primera vez en septiembre de 2021 como parte de una serie de ataques cibernéticos dirigidos a hoteles, gobiernos, firmas de abogados y empresas de ingeniería. ¿La herramienta principal? SparrowDoor, un backdoor que, hasta ese momento, solo usaban ellos.
Con el tiempo, los analistas empezaron a notar similitudes en sus tácticas con otros grupos conocidos como Earth Estries, GhostEmperor y, especialmente, Salt Typhoon, famoso por atacar el sector de las telecomunicaciones. Aun así, muchos expertos siguen considerando a FamousSparrow como un grupo aparte, aunque con ciertos vínculos poco claros con Earth Estries, especialmente por parecidos con otros malwares como Crowdoor y HemiGate.
En cuanto a cómo operan, todo empieza cuando logran colocar un web shell en un servidor con Internet Information Services (IIS). Todavía no está claro cómo consiguen ese acceso inicial, pero se sabe que las víctimas usaban versiones viejas de Windows Server y Microsoft Exchange, lo que pudo facilitarles el trabajo.
Ese web shell sirve como punto de entrada para descargar un script desde un servidor remoto. Ese script lanza otro web shell, esta vez codificado en .NET y en Base64, que es el encargado de desplegar tanto SparrowDoor como ShadowPad en los sistemas comprometidos.
Una de las versiones recientes de SparrowDoor tiene mucho en común con Crowdoor, pero ambas han evolucionado bastante. Ahora pueden ejecutar tareas pesadas (como transferencias de archivos o comandos en una consola interactiva) al mismo tiempo, lo que hace que la puerta trasera sea mucho más eficiente y difícil de detectar.
Cuando la puerta trasera recibe uno de los comandos enviados por el atacante, lo que hace es crear un nuevo "hilo" (una especie de proceso) que se conecta directamente con el servidor de control, también conocido como servidor C&C. En esa nueva conexión, el malware envía un identificador único de la víctima junto con un código que indica qué comando activó esa conexión.
Gracias a eso, el servidor puede saber exactamente qué conexiones pertenecen a la misma víctima y para qué se están usando. Cada hilo puede encargarse de tareas específicas, como si fueran distintos brazos haciendo trabajos diferentes al mismo tiempo.
SparrowDoor es bastante versátil. Puede hacer cosas como lanzar un proxy, abrir una consola interactiva (una especie de terminal remota), mover archivos, explorar el sistema de archivos de la máquina, recolectar información del dispositivo e incluso borrarse a sí mismo si es necesario.
Por otro lado, hay una segunda versión del malware que está mejor organizada y diseñada de forma modular. En lugar de tener todas sus funciones integradas, usa un sistema de plugins, lo que le da mucha más flexibilidad. Hasta ahora, se han identificado nueve módulos distintos, cada uno con una función concreta:
-
Cmd: Ejecuta comandos simples
-
CFile: Maneja archivos y carpetas
-
CKeylogPlug: Registra lo que se escribe con el teclado
-
CSocket: Crea un proxy TCP
-
CShell: Abre una sesión de shell interactiva
-
CTransf: Transfiere archivos entre la máquina infectada y el servidor del atacante
-
CRdp: Toma capturas de pantalla
-
CPro: Lista procesos en ejecución y puede cerrar los que le interesen
-
CFileMoniter: Vigila cambios en carpetas específicas
Todo esto deja claro que el grupo detrás de SparrowDoor no solo sigue activo, sino que ha estado mejorando su malware constantemente, volviéndolo más modular, eficiente y difícil de detectar.
Conoce más sobre: Nuevo Ransomware VanHelsing Ataca Sistemas Windows, ARM y ESXi
Conclusión
El caso de SparrowDoor y sus nuevas variantes nos recuerda, una vez más, que las ciberamenazas no paran de evolucionar. Cada vez son más complejas, más sigilosas y más difíciles de detectar. Grupos como FamousSparrow no están usando simples virus: ahora emplean herramientas modulares, técnicas avanzadas para evitar ser descubiertos y malware de alto nivel como ShadowPad. Ya no basta con tener un antivirus, hay que estar preparados para amenazas que operan a largo plazo y con precisión quirúrgica.
Los ataques recientes a una firma comercial en Estados Unidos y a un instituto de investigación en México demuestran que nadie está fuera del radar. Empresas, gobiernos, universidades… todos somos posibles objetivos si no tomamos en serio la ciberseguridad.
La clave está en lo básico, pero bien hecho: mantener los sistemas actualizados, monitorear la actividad en red, tener planes de respuesta claros y, sobre todo, educar a los equipos. La prevención y la detección temprana pueden marcar la diferencia entre un susto y una crisis mayor. Porque sí, los ataques seguirán ocurriendo, pero estar bien preparados puede hacer toda la diferencia.
