El grupo de ciberespionaje chino APT41 ha sido detectado utilizando una nueva variante de malware denominada 'ToughProgress', la cual explota Google Calendar como canal de comunicación de comando y control (C2), ocultando sus actividades maliciosas tras un servicio en la nube de confianza.
La campaña fue descubierta por el grupo de inteligencia de amenazas de Google, que identificó y desmanteló la infraestructura de Google Calendar y Workspace controlada por los atacantes, implementando medidas específicas para prevenir futuros abusos.
Desarrollo del ataque
El ataque comienza con un correo electrónico malicioso enviado a las víctimas, que contiene un enlace a un archivo ZIP alojado en un sitio web gubernamental previamente comprometido. Este archivo contiene un acceso directo de Windows (LNK) que simula ser un documento PDF, un archivo de imagen JPG que en realidad es una carga útil cifrada, y una DLL disfrazada también como imagen, utilizada para descifrar y ejecutar la carga útil.
La DLL, conocida como 'PlusDrop', descifra y ejecuta en memoria la siguiente etapa, 'PlusInject', que realiza una técnica de 'process hollowing' en el proceso legítimo de Windows 'svhost.exe' para inyectar la etapa final, 'ToughProgress'. Este malware se conecta a un punto final codificado de Google Calendar y consulta fechas específicas de eventos para recibir comandos que APT41 añade en el campo de descripción de eventos ocultos. Tras ejecutar estos comandos, 'ToughProgress' devuelve los resultados en nuevos eventos del calendario, permitiendo al atacante ajustar sus siguientes pasos en consecuencia.
Con las cargas útiles nunca escribiéndose en el disco y la comunicación C2 ocurriendo a través de un servicio en la nube legítimo, las posibilidades de ser detectado por productos de seguridad en el host infectado son mínimas.
Respuesta de Google y colaboración con Mandiant
Google identificó las instancias de Google Calendar controladas por los atacantes y terminó todas las cuentas de Workspace relacionadas y los eventos de calendario ofensivos. Además, actualizó su lista de sitios bloqueados en Safe Browsing, de modo que los usuarios recibirán una advertencia al visitar los sitios asociados, y el tráfico desde esos sitios será bloqueado en todos los productos del gigante tecnológico. Aunque el informe no nombra organizaciones o víctimas específicas comprometidas, Google afirma haberlas notificado directamente en colaboración con Mandiant, compartiendo muestras de 'ToughProgress' y registros de tráfico para ayudarles a identificar infecciones en sus entornos.
