Un grupo de ciberespionaje vinculado a China (conocidos como FamousSparrow) ha comenzado a desplegar una versión modular mejorada de su puerta trasera SparrowDoor en recientes ataques dirigidos a organizaciones estadounidenses, instituciones gubernamentales y empresas de investigación en América Latina.
La actividad y el uso de este nuevo malware fueron detectados por los investigadores de ESET, quienes descubrieron que el grupo ha estado más activo de lo que se pensaba, tras su exposición en 2022.
Cadena de Ataques Observada
El grupo FamousSparrow logró acceso inicial a las víctimas explotando puntos finales vulnerables de Microsoft Exchange y Windows Server. En los ataques observados, los atacantes emplearon webshells para comprometer los sistemas.
Entre las víctimas más recientes, se incluyen una institución gubernamental en Honduras, un instituto de investigación mexicano y una organización comercial estadounidense.
ESET documentó cómo los atacantes utilizaron técnicas sofisticadas para persistir en los sistemas comprometidos y ocultarse en ellos, lo que les permitió operar durante largos períodos sin ser detectados.
SparrowDoor Modular y Mejorado
La investigación reveló que FamousSparrow ha actualizado su puerta trasera SparrowDoor que ahora tiene una arquitectura modular y basada en complementos.
Este cambio ha mejorado significativamente su capacidad para evadir detección y expandir sus funcionalidades a medida que se ejecuta en la memoria.
Características Clave de la Nueva Versión
Ejecución paralela de comandos
La nueva versión permite ejecutar múltiples comandos simultáneamente, lo que optimiza su rendimiento y permite al backdoor seguir recibiendo nuevos comandos mientras ejecuta los anteriores, como el acceso a shells interactivos o manipulaciones del sistema de archivos.
Arquitectura de plugins
Ahora el SparrowDoor puede recibir complementos adicionales desde el servidor C2 (comando y control) durante su ejecución, lo que le permite adaptarse a nuevas amenazas y expandir sus capacidades sin necesidad de reiniciar el sistema.
Funciones Soportadas por los Plugins
- Acceso a shells
- Manipulación del sistema de archivos
- Registro de teclas (keylogging)
- Proxies
- Captura de pantallas
- Transferencia de archivos
- Listado y eliminación de procesos
Uso de Herramientas Avanzadas como ShadowPad ⚙️
Otra novedad significativa en este ataque es el uso de ShadowPad, un troyano de acceso remoto modular que se asocia con varios APT (grupos de amenazas persistentes avanzadas) chinos.
En los ataques observados, ShadowPad se cargó mediante una técnica de DLL side-loading, utilizando un archivo IME de Microsoft Office renombrado que se inyectó en el proceso de Windows Media Player (wmplayer.exe).
Esto permitió que el malware se conectara a un servidor C2 asociado con ShadowPad.
Este uso de herramientas avanzadas indica que FamousSparrow podría tener acceso a las mismas herramientas cibernéticas de alto nivel que otros actores patrocinados por el estado chino, lo que eleva aún más el nivel de sofisticación de sus operaciones.
Vínculos con Otros Grupos y Terceros Involucrados
ESET señala que, aunque FamousSparrow, GhostEmperor y Earth Estries comparten ciertas similitudes en su código y técnicas de explotación, el grupo los sigue rastreando como entidades separadas.
Aunque las similitudes sugieren que estos grupos podrían estar utilizando un proveedor de terceros compartido, un “cuartero digital“, que proporciona las herramientas y recursos necesarios para sus ataques coordinados.
Esto refuerza la teoría de que existe una infraestructura compartida que apoya a varios grupos de ciberespionaje patrocinados por el estado chino, lo que facilita la colaboración y distribución de herramientas entre ellos.
Conclusión
El grupo FamousSparrow está evolucionando rápidamente sus tácticas y herramientas, implementando malware modular avanzado y técnicas de evasión para ejecutar ataques de ciberespionaje a gran escala.
La aparición de herramientas como ShadowPad y la modularidad del SparrowDoor demuestran que estos actores están cada vez más sofisticados, lo que pone en riesgo a organizaciones gubernamentales, empresas privadas y usuarios en todo el mundo.
La vigilancia constante y la mejora de las defensas cibernéticas son cruciales para contrarrestar esta amenaza creciente. ️