Los especialistas de Trend Micro han descubierto un nuevo malware denominado KTLVdoor, desarrollado por el grupo chino Earth Lusca. Este backdoor multiplataforma, escrito en Golang, tiene versiones para Windows y Linux, y permite un control total del sistema infectado.
El malware es significativamente más sofisticado que otras herramientas de Earth Lusca. KTLVdoor está disfrazado como utilidades del sistema con nombres como sshd, java y bash, lo que dificulta su detección. Además, permite ejecutar comandos, recopilar información del sistema, manipular archivos y escanear puertos remotos. Más de 50 servidores C2 (Comando y Control) han sido identificados, todos alojados en la plataforma Alibaba(iProUP).
Vulnerabilidades y comportamiento
El malware está diseñado para ofuscarse, lo que dificulta su análisis. Utiliza un formato de configuración TLV, que contiene parámetros como los servidores C2, servidores proxy y protocolos como HTTP y TCP. Una vez activado, KTLVdoor se comunica con los servidores C2 y puede operar en modos de transferencia de datos unidireccional (simplex) o bidireccional (dúplex).
Funcionamiento del malware KTLVdoor
El malware está altamente ofuscado para evitar su análisis. Su configuración está almacenada en formato TLV, lo que incluye parámetros como servidores C2, proxy y protocolos como HTTP y TCP. Una vez activado, KTLVdoor se comunica con los servidores C2 y puede operar en modo simplex (transferencia unidireccional) o dúplex (bidireccional).
Ataques y víctimas
Los ataques de KTLVdoor han afectado al menos a una empresa comercial en China, pero se sospecha que también podría ser utilizado por otros ciberdelincuentes chinos. Anteriormente, grupos como Iron Tiger y Void Arachne han llevado a cabo ataques similares(Keeper® Password Manager & Digital Vault).
Conclusión
El malware KTLVdoor representa una amenaza creciente debido a su sofisticación y capacidad para evadir la detección. Mantener los sistemas actualizados y reforzar las medidas de ciberseguridad es crucial para protegerse de este tipo de ataques.
Te puede interesar: Vulnerabilidades Android 2024: CVE-2024-32896 y parches de seguridad
Trend Micro: https://www.trendmicro.com Alibaba Cloud Security: https://www.alibabacloud.com