Un nuevo informe de la firma de ciberseguridad ESET revela que un grupo de amenazas persistentes avanzadas (APT), alineado con China y conocido como TheWizards, está explotando una característica del protocolo IPv6 para lanzar sofisticados ataques informáticos.
El objetivo: secuestrar actualizaciones de software legítimas en sistemas Windows y desplegar malware mediante una técnica llamada ataque SLAAC (Stateless Address Autoconfiguration).
Qué es SLAAC y cómo lo están explotando
El SLAAC (Stateless Address Autoconfiguration) es una funcionalidad del protocolo IPv6 que permite a los dispositivos conectados a una red configurar automáticamente sus direcciones IP y puerta de enlace predeterminada sin intervención humana ni servidor DHCP.
El grupo TheWizards utiliza una herramienta maliciosa llamada Spellbinder, la cual envía paquetes falsificados de Router Advertisement (RA) a todos los dispositivos cercanos con IPv6 habilitado.
Esto les permite modificar el comportamiento de red de los dispositivos vulnerables y convertirlos en víctimas de un ataque de tipo Adversary-in-the-Middle (AitM), redirigiendo todo el tráfico a través de servidores controlados por los atacantes.
Cómo Funciona Spellbinder
- El malware Spellbinder se distribuye en un archivo comprimido llamado
AVGApplicationFrameHostS.zip, que simula pertenecer a un software legítimo. - Al extraerse, crea un directorio falso:
C:Program FilesAVG Technologies. - Dentro se incluye una copia de
winpcap.exey un archivo maliciosowsc.dllque es side-loaded para ejecutar el código malicioso en memoria. - Una vez activado, el malware intercepta y analiza tráfico de red, especialmente de dominios pertenecientes a empresas tecnológicas chinas como Tencent, Baidu, Xiaomi, Youku, Kingsoft, y otras.
- Los atacantes luego secuestran las actualizaciones de software de estas empresas y entregan una versión manipulada que instala una puerta trasera llamada WizardNet.
Qué hace la puerta trasera WizardNet
Una vez instalada, WizardNet proporciona acceso persistente al sistema comprometido y permite la ejecución de otros programas maliciosos.
Esto abre la puerta a múltiples amenazas, incluyendo:
- Robo de datos confidenciales
- Espionaje cibernético
- Instalación de ransomware
- Movimiento lateral dentro de redes corporativas
Cómo protegerse de este tipo de ataques
Dado que este ataque depende del uso de IPv6, ESET y expertos en ciberseguridad recomiendan las siguientes acciones preventivas:
- Deshabilitar IPv6 en entornos donde no sea estrictamente necesario.
- Monitorear el tráfico IPv6 en la red para detectar actividad anómala.
- Aplicar políticas de seguridad para restringir los cambios de puerta de enlace predeterminada.
- Mantener actualizado el software antivirus y antimalware.
- Verificar la integridad y origen de las actualizaciones de software.
Conclusión
El ataque de TheWizards mediante la explotación del protocolo IPv6 SLAAC representa una evolución peligrosa en las técnicas de ataque de APTs.
La capacidad de secuestrar actualizaciones legítimas y distribuir malware sin interacción del usuario (zero-click) subraya la importancia de implementar controles de seguridad proactivos y de estar al día con las mejores prácticas en protección de redes.
Si tu empresa o red no utiliza activamente IPv6, considera desactivarlo para reducir tu superficie de ataque.