En julio de 2024, ESET Research detectó actividad sospechosa en el sistema de un grupo comercial en Estados Unidos que opera en el sector financiero. Durante la asistencia a la entidad afectada para remediar el compromiso de su red, se realizó un descubrimiento inesperado: herramientas maliciosas pertenecientes a FamousSparrow, un grupo APT alineado con China. Desde 2022 no se había documentado actividad pública de FamousSparrow, lo que llevó a suponer que el grupo estaba inactivo. Sin embargo, se reveló que FamousSparrow no solo estaba activo, sino que había estado desarrollando su conjunto de herramientas, al descubrirse no una, sino dos versiones no documentadas de SparrowDoor, su puerta trasera insignia, en la red comprometida.
Ambas versiones de SparrowDoor muestran un avance notable en comparación con las anteriores, especialmente en términos de calidad de código y arquitectura. Una de ellas se asemeja a la puerta trasera que los investigadores de Trend Micro denominaron CrowDoor, atribuida al grupo Earth Estries en noviembre de 2024. La otra versión es modular y significativamente diferente de todas las anteriores. También es la primera vez que se documenta que FamousSparrow hizo uso de ShadowPad, una puerta trasera conocida por ser vendida en privado a actores de amenazas alineados con China.
Se descubrió que, como parte de esta campaña, el actor de amenazas logró comprometer un instituto de investigación en México apenas unos días antes de la intrusión en Estados Unidos. A medida que se establecía un seguimiento basado en estos ataques, se desveló actividad adicional por parte del grupo entre 2022 y 2024, incluyendo ataques a una institución gubernamental en Honduras.
FamousSparrow es un grupo de ciberespionaje con lazos a China y ha estado activo desde al menos 2019. Inicialmente conocido por atacar hoteles en todo el mundo, ha ampliado su enfoque hacia gobiernos, organizaciones internacionales, empresas de ingeniería y bufetes de abogados. A pesar de que FamousSparrow parecía inactivo en el momento de nuestro descubrimiento, atribuimos esta actividad con alta confianza al grupo, dado que las cargas útiles desplegadas son nuevas versiones de SparrowDoor, que parecen ser exclusivas de este grupo.
Durante el ataque, se utilizó un shell web en un servidor IIS para acceder a la red afectada. Aunque no se pudo determinar el exploit exacto utilizado para desplegar los shells web, ambos objetivos estaban usando versiones desactualizadas de Windows Server y Microsoft Exchange. La comunicación entre el malware y sus servidores de comando y control sigue un formato de paquete base específico que se ha demostrado efectivo en campañas previas.
FamousSparrow no se detiene en el desarrollo de herramientas, ya que su campaña reciente revela una sofisticación en su enfoque. La combinación de versiones no documentadas de sus herramientas y el uso de ShadowPad sugieren una actividad continua y un avance en su capacidad operativa.
Mientras que la investigación se continúa, se monitorea la actividad de FamousSparrow, prestando atención a los posibles vínculos con otras entidades como Salt Typhoon, a medida que el panorama de amenazas cibernéticas sigue evolucionando.
Fuente: WeLiveSecurity by eSet.
