La seguridad informática es un campo de batalla constante entre los defensores de la ciberseguridad y los actores maliciosos que buscan explotar vulnerabilidades para sus propios fines. Recientemente, un nuevo participante ha emergido en este escenario, destacando la sofisticación y el enfoque geográfico de las ciberamenazas actuales.
Una organización benéfica islámica sin fines de lucro en Arabia Saudita ha sido el blanco de una campaña sigilosa de ciberespionaje que buscaba instalar una puerta trasera inédita denominada Zardoor.
El grupo de investigación Cisco Talos, responsable del hallazgo en mayo de 2023, indicó que la operación parece haber estado activa desde marzo de 2021. Hasta el momento, se ha confirmado un único objetivo comprometido, aunque no se descarta la existencia de más víctimas.
Durante la campaña, el atacante empleó binarios que viven de la tierra (LoLBins) para desplegar puertas traseras, establecer canales de comando y control (C2) y asegurar su persistencia en los sistemas afectados. Este método demuestra la habilidad del atacante para mantener acceso a largo plazo sin ser detectado.
La ofensiva contra la entidad caritativa incluyó extracciones de datos aproximadamente cada dos semanas. El método exacto utilizado para infiltrarse inicialmente en la organización sigue siendo desconocido.
El acceso conseguido se utilizó para instalar Zardoor y asegurar la persistencia, además de establecer conexiones C2 mediante el uso de herramientas de proxy inverso de código abierto como Fast Reverse Proxy (FRP), sSocks y Venom.
Una vez establecida la conexión, el actor de la amenaza recurrió al Instrumental de Administración de Windows (WMI) para la movilidad lateral y la distribución de herramientas maliciosas, incluido Zardoor, permitiendo la ejecución de comandos remotos.
La ruta de infección conduce a un componente dropper que instala una biblioteca de enlaces dinámicos maliciosa ("oci.dll"), que a su vez despliega dos módulos de puerta trasera, "zar32.dll" y "zor32.dll". El primero es el componente principal que facilita las comunicaciones C2, mientras que el segundo asegura los privilegios de administrador para "zar32.dll". Zardoor tiene la capacidad de exfiltrar datos, ejecutar ejecutables y códigos de shell de forma remota, actualizar la IP de C2 y autoeliminarse del sistema infectado.
La identidad del grupo detrás de esta campaña es incierta, y hasta el momento, no muestra similitudes tácticas con ningún grupo de amenazas conocido. Se considera la obra de un actor de amenazas avanzado.
Te podrá interesar: Alerta: Backdoor en macOS en software pirata popular
El foco de Zardoor en Arabia Saudita no es casualidad. Esta región, con su riqueza económica y posición geopolítica clave, es un objetivo atractivo para campañas de ciberespionaje. La aparición de Zardoor subraya la creciente necesidad de robustecer las defensas cibernéticas en el país y la región en general. Organizaciones afectadas podrían enfrentarse a consecuencias devastadoras, desde la pérdida de información sensible hasta la interrupción de operaciones críticas.
Conoce más sobre: Costo de Inacción en Ciberseguridad
La detección y mitigación de backdoors como Zardoor requieren un enfoque multicapa que abarque tanto la prevención como la respuesta rápida. Esto incluye:
Conoce más sobre: GERT: Respuesta Efectiva a Incidentes de Ciberseguridad
La emergencia de Zardoor como una nueva herramienta de ciberespionaje contra Arabia Saudita es un recordatorio de la constante evolución de las amenazas cibernéticas. La sofisticación y el enfoque de este backdoor subrayan la importancia de adoptar un enfoque proactivo y en capas hacia la ciberseguridad.
A medida que los actores maliciosos continúan perfeccionando sus técnicas, la vigilancia, la educación y la implementación de prácticas de seguridad robustas serán clave para proteger los activos digitales y la infraestructura crítica. En este juego de gato y ratón digital, estar un paso adelante es la única manera de asegurar la integridad y confidencialidad de nuestros sistemas en el cambiante paisaje de la ciberseguridad.