Investigadores de ESET han publicado un análisis detallado sobre una herramienta de movimiento lateral llamada Spellbinder, utilizada por un grupo de amenazas alineado con China, al que han denominado TheWizards. Este software permite llevar a cabo ataques adversarial en el medio (AitM, por sus siglas en inglés) a través de la suplantación de la configuración de direcciones en IPv6 (SLAAC), permitiendo a los atacantes moverse lateralmente dentro de una red comprometida. Spellbinder intercepta paquetes y redirige el tráfico de software legítimo chino para que descargue actualizaciones maliciosas desde un servidor controlado por los atacantes.
Uno de los hallazgos más significativos señala que un downloader malicioso estaba siendo desplegado mediante los mecanismos de actualización de software legítimos de algunas aplicaciones chinas, lo que lleva a la instalación de una puerta trasera modular conocida como WizardNet. Además, se han establecido vínculos entre TheWizards y la empresa china Dianke Network Security Technology, conocida también como UPSEC.
Desde 2022, TheWizards ha estado activo, apuntando a individuos y empresas de juegos en Filipinas, Camboya, Emiratos Árabes Unidos, China continental y Hong Kong. ESET ha observado que, tras obtener acceso a una máquina dentro de una red objetivo, los atacantes despliegan un archivo comprimido llamado AVGApplicationFrameHostS.zip. Este incluye componentes que son instalados en directorios específicos del sistema, donde archivos esenciales como AVGApplicationFrameHost.exe y wsc.dll permiten la ejecución de Spellbinder.
La herramienta Spellbinder utiliza la biblioteca WinPcap para interceptar y manipular paquetes en la red. Después de ser ejecutada, empieza a capturar datos y responde ante solicitudes de red utilizando un proceso de envío de anuncios de enrutador ICMPv6. Esto permite a los atacantes hacerse pasar por el enrutador de la red, manipulando el tráfico y sirviendo actualizaciones maliciosas a usuarios de aplicaciones chinas.
El mecanismo de ataque fue ilustrado con el caso de la versión 2024 del software Tencent QQ, donde el tráfico de actualizaciones fue redirigido a un servidor malicioso. Este servidor proporcionó instrucciones perfiladas en JSON que llevaban a la descarga de malware. El malware, tras ser ejecutado en la máquina víctima, se comunicaba con servidores de control para recibir más instrucciones y módulos dañinos.
ESET ha continuado rastreando a TheWizards y su relación con Dianke Network Security, mientras que la actividad de este grupo parece enfocarse en diferentes objetivos con herramientas y infraestructura específicas que no coincidían con otros grupos de amenazas observados. Así, Spellbinder y WizardNet se han revelado como piezas clave en una narrativa de ciberamenazas que se extiende desde el espionaje digital hasta la inyección de malware en redes globales. La investigación continúa para desentrañar todas las facetas de este complejo panorama de ciberseguridad.
Fuente: WeLiveSecurity by eSet.
