Claudia Rincón Pérez, fundadora de Factoría IT, explica que ShadowPad, es una puerta trasera infame de Windows que permite a los atacantes descargar más módulos maliciosos o robar datos, ha sido utilizada por cinco grupos de amenazas chinos diferentes desde 2017.
"La adopción de ShadowPad reduce significativamente los costos de desarrollo y mantenimiento para los actores de amenazas", dijeron los investigadores de SentinelOne, Yi-Jhen Hsieh y Joey Chen , en una descripción detallada del malware, agregando que "algunos grupos de amenazas dejaron de desarrollar sus propias puertas traseras después de obtener acceso a ShadowPad ".
La firma estadounidense de ciberseguridad apodó a ShadowPad como una "obra maestra del malware de venta privada en el espionaje chino".
Sucesor de PlugX y una plataforma de malware modular desde 2015, ShadowPad atrajo una atención generalizada a raíz de los incidentes de la cadena de suministro dirigidos a NetSarang , CCleaner y ASUS , lo que llevó a los operadores a cambiar de táctica y actualizar sus medidas defensivas con persistencia y anti-detección avanzada. técnicas.
Más recientemente, los ataques que involucran a ShadowPad han señalado organizaciones en Hong Kong , así como infraestructura crítica en India, Pakistán y otros países de Asia Central, señaló Rincón Pérez. Aunque se atribuye principalmente a APT41, se sabe que el implante se comparte entre varios actores de espionaje chinos como Tick, RedEcho , RedFoxtrot y los grupos denominados Operation Redbonus, Redkanku y Fishmonger.
"[El actor de amenazas detrás de Fishmonger] ahora lo está usando y otra puerta trasera llamada Spyder como sus puertas traseras principales para el monitoreo a largo plazo, mientras distribuyen otras puertas traseras de primera etapa para las infecciones iniciales, como FunnySwitch, BIOPASS RAT y Cobalt Strike", el dijeron los investigadores. "Las víctimas incluyen universidades, gobiernos, empresas del sector de los medios de comunicación, empresas de tecnología y organizaciones de salud que realizan investigaciones sobre COVID-19 en Hong Kong, Taiwán, India y Estados Unidos".
El malware funciona descifrando y cargando un complemento raíz en la memoria, que se encarga de cargar otros módulos integrados durante el tiempo de ejecución, además de implementar dinámicamente complementos adicionales desde un servidor de comando y control remoto (C2), lo que permite a los adversarios incorporar funcionalidad adicional no integrado en el malware de forma predeterminada. Hasta la fecha, se han identificado al menos 22 complementos únicos.
Las máquinas infectadas, por su parte, son controladas por un controlador basado en Delphi que se usa para comunicaciones de puerta trasera, actualizando la infraestructura C2 y administrando los complementos.
Curiosamente, el conjunto de funciones disponible para los usuarios de ShadowPad no solo está estrictamente controlado por su vendedor, cada complemento se vende por separado en lugar de ofrecer un paquete completo que contiene todos los módulos, con la mayoría de las muestras, de aproximadamente 100, integradas con menos de nueve complementos.
"La aparición de ShadowPad, una puerta trasera funcional, bien desarrollada y vendida de forma privada, ofrece a los actores de amenazas una buena oportunidad para alejarse de las puertas traseras desarrolladas por ellos mismos", dijeron los investigadores. "Si bien está bien diseñado y es muy probable que lo produzca un desarrollador de malware experimentado, tanto sus funcionalidades como sus capacidades anti-forenses están en desarrollo activo".