Mundo

ESET descubre la última versión de Gelsemium: grupo de cibersespionaje contra el gobierno y otros objetivos en Asia

A mediados de 2020 investigadores de ESET, compañía líder en detección proactiva de amenazas, comenzaron a analizar múltiples campañas, que luego fueron atribuidas al grupo de ciberespionaje Gelsemium, y rastrearon la primera versión de su principal malware que se remonta a 2014.

Las víctimas de estas campañas se encuentran en el este de Asia, así como en el Medio Oriente, e incluyen gobiernos, organizaciones religiosas, fabricantes de productos electrónicos y universidades.

Gelsemium está muy dirigido, con solo unas pocas víctimas (según la telemetría de ESET), y considerando sus capacidades, esto apunta a la conclusión de que el grupo está involucrado en el ciberespionaje. El grupo tiene una gran cantidad de componentes adaptables.

«Toda la cadena de Gelsemium puede parecer simple a primera vista, pero el número exhaustivo de configuraciones, implantadas en cada etapa, puede modificar la configuración sobre la marcha de la carga útil final, lo que hace que sea más difícil de entender«, explica el investigador de ESET Thomas Dupuy, co -autor de la investigación Gelsemium.

Los investigadores de ESET creen que Gelsemium está detrás del ataque a la cadena de suministro contra BigNox que se informó anteriormente como Operación NightScout. Este fue un ataque a la cadena de suministro, informado por ESET, que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox, con más de 150 millones de usuarios en todo el mundo.

La investigación descubrió cierta superposición entre este ataque a la cadena de suministro y el grupo Gelsemium. Las víctimas originalmente comprometidas por ese ataque a la cadena de suministro luego fueron comprometidas por Gelsemine. Entre las diferentes variantes examinadas, la «variante 2» del artículo muestra similitudes con el malware Gelsemium.

Durante la investigación desde ESET identificaron algunos programas maliciosos interesantes que se describen en las siguientes secciones.

  • Operación NightScout (BigNox): en enero de 2021, ESET publicó Operación NightScout; un ataque de cadena de suministro que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox con más de 150 millones de usuarios en todo el mundo. La investigación reveló cierta relación entre este ataque de cadena de suministro y el grupo Gelsemium.
  • OwlProxy: este módulo también viene en dos variantes – versiones de 32 y 64 bits – y como resultado contiene una función para probar la versión de Windows al igual que en los componentes de Gelsemium.
  • Chrommme: Chrommme es un backdoor identificado por ESET en el ecosistema Gelsemium. Las similitudes de código con los componentes de Gelsemium son casi inexistentes, pero se encontraron pequeños indicadores durante el análisis que llevan a creer que de alguna manera está relacionado con el grupo. Se encontró el mismo servidor C&C tanto en Gelsevirine como en Chrommme, ambos utilizan dos servidores C&C. Chrommme se encontró en la máquina de una organización también comprometida por el grupo Gelsemium.

“El bioma Gelsemium es muy interesante: muestra pocas víctimas (según nuestra telemetría) con una gran cantidad de componentes adaptables. El sistema de plugins muestra que sus desarrolladores tienen un conocimiento profundo de C++. Pequeñas similitudes con herramientas de malware conocidas arrojan luz sobre posibles relaciones con otros grupos y actividades pasadas. Esperamos que esta investigación impulse a otros investigadores a publicar sobre el grupo y revelar más raíces relacionadas con esta biosfera de malware.”, comentan Thomas Dupuy y Matthieu Faou, del equipo de ESET.

Para acceder al whitepaper completo ingrese a: Gelsemium

K

Share
Published by
K

Recent Posts

La nueva Buick Envision llega México

Buick presentó la nueva Envision 2024, SUV compacta de la marca que evoluciona con un…

3 meses ago

¡Regresa Switch! La innovadora plataforma de la familia Sabritas

Tras el éxito de la plataforma Switch lanzada el año pasado, Sabritas®, uno de los…

3 meses ago

Santander será patrocinador y banco oficial de la Formula 1

Banco Santander ha anunciado hoy que será patrocinador y banco oficial de la Formula 1®…

3 meses ago

33.000 personas se beneficiarán con fibra óptica

Cerca de 33.000 personas, más de 11.000 hogares y negocios en Caucasia, Antioquia, se verán…

3 meses ago

100 años de IFA

Francisco Javier Dagostino Casado Internationale Funkausstellung Berline (IFA), la mayor feria europea de electrónica de…

3 meses ago

Conoce las mejores formas para optimizar el consumo de energía eléctrica

Schneider Electric, líder en la transformación digital de la gestión de la energía y automatización,…

3 meses ago