El grupo de hackers chino conocido como APT41 ha estado usando un nuevo malware, llamado ToughProgress, que se esconde nada más y nada menos que en Google Calendar. ¿La idea? Usar este servicio tan común y confiable como un canal secreto para sus comunicaciones de comando y control (C2), lo que les permite mover datos y ejecutar acciones maliciosas sin levantar sospechas.
Esta campaña fue detectada por el Grupo de Inteligencia de Amenazas de Google, que no solo desmanteló la infraestructura comprometida de Google Calendar y Workspace, sino que también implementó nuevas medidas para evitar que algo así vuelva a suceder.
Aunque suena innovador, usar Google Calendar como canal C2 no es algo totalmente nuevo. De hecho, hace poco se reportó un paquete malicioso en el repositorio de NPM que usaba una táctica bastante parecida.
APT41 ya tiene historial aprovechando servicios legítimos de Google. En abril de 2023, por ejemplo, usaron Google Sheets y Google Drive en una campaña de malware conocida como Voldemort. Está claro que les gusta esconderse a plena vista.
Resumen del ataque (Fuente: Google)
Así es como APT41 lleva a cabo su ataque paso a paso
Todo empieza con un correo malicioso que los atacantes envían a sus víctimas. En él incluyen un enlace que dirige a un archivo ZIP alojado en un sitio web gubernamental que previamente fue hackeado (lo que ya le da cierto nivel de confianza a simple vista). Ese archivo ZIP contiene varias trampas disfrazadas:
-
Un archivo .LNK de Windows que se hace pasar por un PDF, pero en realidad es lo que inicia todo.
-
Dos archivos “.jpg” que, aunque parecen imágenes inocentes, no lo son para nada.
-
Uno de esos archivos, llamado “6.jpg”, es en realidad la carga útil cifrada (el malware principal).
-
El otro, “7.jpg”, es una librería DLL que actúa como descifrador y ejecutor del malware cuando la víctima hace clic en el supuesto PDF.
Según Google, esa DLL se llama PlusDrop, y su trabajo es desencriptar y lanzar una segunda fase del malware llamada PlusInject, todo esto sin dejar rastro en el disco, ya que ocurre directamente en la memoria del sistema.
Una vez ejecutado, PlusInject toma un proceso legítimo de Windows, llamado svchost.exe, y le hace un “process hollowing” (una técnica común que consiste en vaciar el proceso legítimo y usarlo como contenedor para ejecutar algo malicioso). En este caso, inyecta la fase final del ataque: un malware llamado ToughProgress.
Este malware es el que se conecta silenciosamente con Google Calendar. Allí revisa eventos escondidos en fechas específicas buscando comandos que APT41 ha insertado en el campo de descripción. De esta manera, el malware se mantiene en contacto con los atacantes sin levantar sospechas, todo a través de un servicio completamente legítimo.
Uno de los eventos del Calendario de APT41 (Fuente: Google)
Una vez que el malware ToughProgress ejecuta las instrucciones que recibe, envía los resultados de vuelta creando nuevos eventos en Google Calendar. Así, el atacante puede revisar lo que pasó y decidir sus próximos movimientos con total tranquilidad.
Lo más preocupante es que nada de esto se guarda en el disco y toda la comunicación con el atacante ocurre a través de un servicio en la nube totalmente legítimo como Google Calendar. ¿El resultado? Las herramientas de seguridad en el equipo infectado casi nunca detectan lo que está pasando. Es una jugada muy astuta para mantenerse bajo el radar.
El intercambio cifrado (Fuente: Google)
Podría interesarte leer: México Enfrenta Ola de Ciberataques Liderados por Hackers Chinos
¿Cómo se detuvo la operación?
Una vez que Google descubrió lo que estaba pasando, identificaron las cuentas de Google Calendar que los atacantes estaban usando y las dieron de baja de inmediato, junto con todos los eventos sospechosos que habían creado. También cancelaron las cuentas de Workspace involucradas.
Además, actualizaron la lista de bloqueo de Navegación Segura de Google, lo que significa que si alguien intenta visitar uno de los sitios relacionados con esta campaña, verá una advertencia, y el tráfico hacia esos sitios será bloqueado automáticamente en los productos de Google, como Chrome.
El informe no menciona a qué organizaciones o usuarios se vieron directamente afectados, pero Google confirmó que contactaron a las víctimas de forma privada, en colaboración con Mandiant, una empresa especializada en ciberseguridad. Incluso les compartieron muestras del malware ToughProgress y registros de tráfico sospechoso, para ayudarles a identificar si habían sido comprometidos y poder limpiar sus sistemas.
