La evolución constante de las técnicas de ciberespionaje ha llevado a los delincuentes a desarrollar métodos cada vez más sofisticados y difíciles de detectar. En este contexto, un grupo de investigadores ha descubierto una nueva campaña de ciberespionaje asociada al actor malicioso UTA0137, con sede en Pakistán, que utiliza un ‘malware’ dirigido a sistemas operativos Linux, capaz de comunicarse con los dispositivos infectados y ejecutar comandos a través del uso de ‘emojis’ en Discord.
Este nuevo ‘malware’, al que se refieren como DISGOMOJI, actúa a través de Discord para robar información y archivos a las víctimas con el objetivo de espiar, específicamente, a entidades gubernamentales en la India. La empresa de ciberseguridad Volexity ha identificado el uso de este nuevo ‘malware’ durante este año y ha compartido un análisis de la campaña de ciberespionaje, asociada al actor malicioso identificado bajo el alias UTA0137 y con sede en Pakistán.
Estrategia de Ciberespionaje Basada en Discord y Emojis
Los ciberdelincuentes utilizan DISGOMOJI infectando los dispositivos a través de Discord y, una vez implementado, el ‘malware’ es capaz de ejecutar comandos, tomar capturas de pantalla, robar archivos e, incluso, implementar cargas adicionales de ‘sofware’ y buscar archivos. Todo ello se consigue mediante el uso de ‘emojis’ como método de control, gracias a una versión modificada del proyecto público discord-c2, que utiliza el servicio de mensajería de la plataforma para comando y control (C2). Este sistema puede permitir eludir el ‘software’ de seguridad del sistema, ya que busca comandos maliciosos basados en texto, no en ‘emojis’.
Por ejemplo, el ‘emoji’ de un hombre corriendo permite ejecutar un comando en el dispositivo de la víctima, una cámara con flash toma una captura de pantalla y la carga en el canal de comando, y una mano señalando hacia abajo, ordena descargar archivos del dispositivo de la víctima y cargarlos en el canal de comando como archivos adjuntos. En total, se utilizan hasta 9 ‘emojis’ distintos, que incluyen el fuego, el zorro, la calavera y manos señalando hacia los lados y hacia arriba y abajo.
Entregando el Malware a Través de Phishing
El ‘malware’ fue descubierto por primera vez tras descargar un archivo estándar ejecutable ELF, procedente de una fuente de ‘phishing’. Este archivo permitía descargar un archivo benigno a modo de «señuelo» bajo el acrónimo de Fondo de Previsión para Oficiales del Servicio de Defensa de la India (DSOP). Posteriormente, el ‘malware’ descargó su carga útil denominándola ‘vmcoreinfo’ desde un servidor remoto, que es en sí el ‘malware’ DISGOMOJI, y se colocó en una carpeta oculta denominada .x86_64-linux-gnuen, en el dispositivo.
Además, dentro del archivo ELF, los ciberdelincuentes también incluyen un token de autenticación y una identificación del servidor codificados, que utilizan para acceder al servidor de Discord y crear un canal dedicado. Una vez creado, los ciberdelincuentes pueden atacar a más víctimas utilizando su propio canal en la plataforma.
Según Volexity, los ciberdelincuentes identificaron que, habitualmente, las autoridades gubernamentales de la India utilizan una distribución de Linux personalizada llamada BOSS. Por lo que enfocaron los ataques a este tipo de sistema para conseguir llegar de forma más eficaz a sus presuntas víctimas.
En conclusión, Volexity evalúa con alta confianza que UTA0137 tiene objetivos relacionados con el espionaje y un mandato para apuntar a entidades gubernamentales en la India, y que sus campañas han tenido éxito, logrando infectar a varias víctimas. Una vez los ciberdelincuentes obtienen acceso a los dispositivos infectados, pueden propagarse a otros usuarios, robar datos e información e, incluso credenciales adicionales a otros servicios, con el objetivo de continuar el espionaje.