Mundo

ESET descubre la última versión de Gelsemium: grupo de cibersespionaje contra el gobierno y otros objetivos en Asia

A mediados de 2020 investigadores de ESET, compañía líder en detección proactiva de amenazas, comenzaron a analizar múltiples campañas, que luego fueron atribuidas al grupo de ciberespionaje Gelsemium, y rastrearon la primera versión de su principal malware que se remonta a 2014.

Las víctimas de estas campañas se encuentran en el este de Asia, así como en el Medio Oriente, e incluyen gobiernos, organizaciones religiosas, fabricantes de productos electrónicos y universidades.

Gelsemium está muy dirigido, con solo unas pocas víctimas (según la telemetría de ESET), y considerando sus capacidades, esto apunta a la conclusión de que el grupo está involucrado en el ciberespionaje. El grupo tiene una gran cantidad de componentes adaptables.

«Toda la cadena de Gelsemium puede parecer simple a primera vista, pero el número exhaustivo de configuraciones, implantadas en cada etapa, puede modificar la configuración sobre la marcha de la carga útil final, lo que hace que sea más difícil de entender«, explica el investigador de ESET Thomas Dupuy, co -autor de la investigación Gelsemium.

Los investigadores de ESET creen que Gelsemium está detrás del ataque a la cadena de suministro contra BigNox que se informó anteriormente como Operación NightScout. Este fue un ataque a la cadena de suministro, informado por ESET, que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox, con más de 150 millones de usuarios en todo el mundo.

La investigación descubrió cierta superposición entre este ataque a la cadena de suministro y el grupo Gelsemium. Las víctimas originalmente comprometidas por ese ataque a la cadena de suministro luego fueron comprometidas por Gelsemine. Entre las diferentes variantes examinadas, la «variante 2» del artículo muestra similitudes con el malware Gelsemium.

Durante la investigación desde ESET identificaron algunos programas maliciosos interesantes que se describen en las siguientes secciones.

  • Operación NightScout (BigNox): en enero de 2021, ESET publicó Operación NightScout; un ataque de cadena de suministro que comprometió el mecanismo de actualización de NoxPlayer, un emulador de Android para PC y Mac, y parte de la gama de productos de BigNox con más de 150 millones de usuarios en todo el mundo. La investigación reveló cierta relación entre este ataque de cadena de suministro y el grupo Gelsemium.
  • OwlProxy: este módulo también viene en dos variantes – versiones de 32 y 64 bits – y como resultado contiene una función para probar la versión de Windows al igual que en los componentes de Gelsemium.
  • Chrommme: Chrommme es un backdoor identificado por ESET en el ecosistema Gelsemium. Las similitudes de código con los componentes de Gelsemium son casi inexistentes, pero se encontraron pequeños indicadores durante el análisis que llevan a creer que de alguna manera está relacionado con el grupo. Se encontró el mismo servidor C&C tanto en Gelsevirine como en Chrommme, ambos utilizan dos servidores C&C. Chrommme se encontró en la máquina de una organización también comprometida por el grupo Gelsemium.

“El bioma Gelsemium es muy interesante: muestra pocas víctimas (según nuestra telemetría) con una gran cantidad de componentes adaptables. El sistema de plugins muestra que sus desarrolladores tienen un conocimiento profundo de C++. Pequeñas similitudes con herramientas de malware conocidas arrojan luz sobre posibles relaciones con otros grupos y actividades pasadas. Esperamos que esta investigación impulse a otros investigadores a publicar sobre el grupo y revelar más raíces relacionadas con esta biosfera de malware.”, comentan Thomas Dupuy y Matthieu Faou, del equipo de ESET.

Para acceder al whitepaper completo ingrese a: Gelsemium

K

Share
Published by
K

Recent Posts

ID. AURA, ID. ERA e ID. EVO: Volkswagen presenta tres prototipos en Shanghái

Por Eduardo Travieso Itriago Volkswagen continúa contando la historia del ID. CODE. El prototipo presentado…

7 horas ago

Movistar, pionera en ofrecer la gestión totalmente digital y sin coste de la eSIM en España

Telefónica, a través de su marca Movistar, es la primera operadora en España que ofrece…

10 horas ago

Chevrolet confirma que Spark EUV llegará México

Chevrolet anunció hoy que incorporará el totalmente eléctrico Spark EUV a su portafolio de productos…

10 horas ago

1er Congreso de León en Venezuela

Por Eduardo Travieso Itriago El pasado 24 y 25 de abril, PURINA participó como patrocinante…

1 día ago

Conecel, otro caso de alianzas sostenibles

Con The Home Depot, la cadena de valor no solo crece, también adopta mejores prácticas…

1 día ago

100 mil empresarios accederán herramientas digitales gracias a la unión de esfuerzos entre Alegra.com y Mastercard

En un esfuerzo por fortalecer el ecosistema de las pequeñas y medianas empresas (pymes) en…

1 día ago