En 2024, investigadores de ESET detectaron un malware previamente no documentado en la red de una entidad gubernamental en el sudeste asiático. Este hallazgo condujo a la identificación de más muestras de malware en el mismo sistema, ninguno de los cuales estaba vinculado con actores de amenazas previamente rastreados. Tras analizar la situación, el equipo decidió atribuir las herramientas maliciosas a un nuevo grupo de amenazas persistentes avanzadas (APT) alineado con China, al que han denominado LongNosedGoblin.
Este grupo se ha caracterizado por el uso de un conjunto de herramientas personalizadas, en su mayoría aplicaciones en C# y .NET. Un método notable que emplean es el uso de las Políticas de Grupo para desplegar su malware y moverse lateralmente a través de los sistemas de las entidades objetivo. LongNosedGoblin aparentemente tiene como objetivo los gobiernos del sudeste asiático y Japón, y se ha estado activo desde al menos septiembre de 2023.
Entre sus principales herramientas, destaca NosyHistorian, diseñada para recopilar el historial de navegación y decidir dónde desplegar malware adicional, como el backdoor conocido como NosyDoor. Este último se sospecha que es compartido por otros actores de amenazas alineados con China. La investigación detalla el análisis de las herramientas utilizadas, así como las campañas conocidas del grupo.
La detección inicial de LongNosedGoblin ocurrió en febrero de 2024, cuando se encontró un malware desconocido que habilitaba la instalación de la puerta trasera NosyDoor. Esta infección involucró múltiples máquinas dentro de la misma entidad, sugiriendo un ataque organizado y sistemático. A lo largo de la investigación, se identificaron otras herramientas, como NosyStealer, que exfiltra datos del navegador, y NosyDownloader, que descarga y ejecuta cargas útiles en memoria, así como un keylogger conocido como NosyLogger.
La atribución a LongNosedGoblin se justifica por el conjunto de herramientas único y el uso de Políticas de Grupo para el movimiento lateral. Con cada nueva campaña, el grupo ha seguido activamente desplegando su malware, mostrando adaptabilidad a diversas infraestructuras y técnicas de evasión. Así, se establece un riesgo significativo para las entidades gubernamentales en las regiones afectadas, haciendo necesaria una vigilancia constante y la implementación de medidas defensivas robustas.
Fuente: WeLiveSecurity by eSet.
