En 2018, la EFF con la ayuda de investigadores de Lookout Security publicó un informe que describía la amenaza persistente avanzada (APT) que apodamos "Dark Caracal". Ahora hemos descubierto una nueva campaña de Dark Caracal que opera desde marzo de 2022, con cientos de infecciones en más de una docena de países. En este informe presentaremos pruebas de que el grupo mercenario cibernético Dark Caracal sigue activo y continúa enfocado en América Latina, como se reportado el  año pasado. Hemos descubierto que Dark Caracal, utilizando el spyware Bandook, está infectando actualmente más de 700 ordenadores en América Central y del Sur, principalmente en la República Dominicana y Venezuela.

En nuestro informe original de 2018, describimos una campaña dirigida a miles de ciudadanos libaneses con varias familias de malware diferentes, incluido un troyano de acceso remoto móvil completamente nuevo al que llamamos Pallas y un troyano de acceso remoto a Windows llamado Bandook. Gracias a nuestra investigación, pudimos cerrar la campaña de malware y notificar a varias de las víctimas. Nuestro informe sobre la Operación Manul estableció que los autores de la campaña trabajaban con los gobiernos de Líbano y Kazajstán. La variedad de objetivos y la aparente implicación de varios gobiernos a lo largo de las campañas nos llevan a creer que Dark Caracal es un grupo de cibermercenarios o de piratas informáticos a sueldo.

Desde nuestro informe original sobre Dark Caracal, han habido múltiples informes sobre sus continuas actividades. Checkpoint Research escribió sobre una campaña en 2020 y hemos continuado el seguimiento de las actividades de Dark Caracal con nuestro más reciente informe, también de 2020.  Más recientemente, ESET escribió sobre las actividades de Dark Caracal en América Latina en su informe Bandidos at Large.

Dark Caracal no es ni mucho menos el único grupo de malware que se dirige actualmente a Latinoamérica. El grupo de malware Quantum atacó el Ministerio de Agricultura de la República Dominicana en 2022. La República Dominicana también es cliente del NSOgroup.

Dado el historial de Dark Caracal de trabajar con gobiernos nacionales -como Kazajstán y Líbano- en campañas con motivaciones políticas, es posible que la nueva campaña descrita a continuación también sea a instancias de un actor gubernamental, pero sin más información sobre a quién pertenecen los ordenadores infectados, no podemos sacar ninguna conclusión sobre las motivaciónes de estos ataques.

En cualquier caso, hacemos un llamamiento a los legisladores y reguladores de Sudamérica y Centroamérica para que se mantengan alerta ante el spyware de Dark Caracal, ya que éste y otros programas espía similares se han utilizado para cometer graves violaciones de los derechos humanos. Una y otra vez, las naciones-estado y los mercenarios cibernéticos han utilizado spyware para atacar a activistas, defensores de los derechos humanos y periodistas, cuyo verdadero trabajo consiste en descubrir las irregularidades de los gobiernos, decir la verdad al poder y exigir responsabilidades a los gobiernos. Estos ataques han dado lugar a una lista cada vez mayor de ejecuciones extrajudiciales de periodistas y defensores de los derechos humanos. 

Los gobiernos deberían considerar la posibilidad de pedir una moratoria sobre el uso gubernamental de estas tecnologías de malware, apoyar la investigación en seguridad informática y los derechos humanos para todos, incluida la transparencia, la rendición de cuentas y la reparación a las víctimas.

Los gobiernos deben reconocer que la hostilidad gubernamental hacia la seguridad de los dispositivos es peligrosa para su población. Si un gobierno puede utilizar programas maliciosos contra civiles de un gobierno rival, nada impide que el gobierno rival haga lo mismo. Los gobiernos deberían centrarse en mejorar la seguridad informática y proteger los derechos de sus ciudadanos a la libertad de expresión.  

Esperamos que este informe se sume al conjunto de trabajos que denuncian a los mercenarios cibernéticos y convenza a los responsables políticos de que los mercenarios cibernéticos y la piratería de los Estados-nación son realmente una amenaza mundial para los derechos humanos y la sociedad civil.

Aparece una nueva campaña

Recientemente hemos descubierto una nueva versión del malware Bandook, que se ha actualizado para disponer de 148 comandos únicos que puede enviar al ordenador infectado, muchos más que los 120 disponibles en muestras anteriores. Esta muestra y otras relacionadas parecen formar parte de una campaña que comenzó en marzo de 2022, utilizando un nuevo servidor de comando y control (un ordenador remoto que emite órdenes a los ordenadores infectados y recibe datos robados de los ordenadores infectados) en el dominio deapproved[.]ru.

En el informe "Bandidos at Large", los investigadores de ESET detallaron un mecanismo dentro de Bandook para descargar DLL (bibliotecas de software para Windows) de Windows desde un dominio secundario al servidor principal de comando y control para obtener funcionalidad adicional. Al analizar las muestras que obtuvimos, descubrimos que en este caso el mecanismo para descargar DLL adicionales apuntaba al dominio unclesow[.]com. Sin embargo, al investigar, nos dimos cuenta de que el dominio unclesow.com aún no había sido registrado. Imaginamos que este dominio podría proporcionar información sobre las actividades de Dark Caracal, así que lo registramos y creamos un sinkhole (un servidor que aloja un dominio que anteriormente pertenecía a una campaña de malware para proteger los ordenadores infectados y recopilar información, indistintamente usaremos la palabra sumidero para describirlo).

Unclesow[.]com está actualmente alojado en EFF. Desde que registramos este dominio, hemos estado recopilando información agregada sobre las víctimas de esta campaña de malware. Basándonos en los registros de tráfico diarios, parece haber entre 600 y 800 máquinas infectadas en cualquier momento, la mayoría en América Central y del Sur. Dado que cada infección de Bandook se conecta al dominio secundario varias veces al día, estamos seguros de que estamos viendo todas las infecciones de esta campaña actual. Debido a nuestra preocupación por la privacidad de las víctimas de esta campaña de malware, hemos configurado el servidor para que elimine los registros después de cuatro semanas y recopile la mínima información necesaria.  

El mismo día que configuramos las entradas DNS para unclesow[.]com, los DNS de varios otros dominios que se habían registrado previamente de repente apuntaron al mismo servidor que alojaba unclesow. Había 6 dominios apuntando automáticamente a nuestro servidor:

setsizee[.]com
seconsave[.]com
scanlostt[.]com
sanesity[.]biz
Email-securlink[.]com
goadaaddy[.]com

Teniendo en cuenta el momento y la naturaleza aparentemente relacionada con el phishing de estos dominios, sospechamos que se trata de un proceso automático, posiblemente establecido por las mismas personas que dirigen la campaña Dark Caracal. Unos días más tarde, varios de los dominios apuntaron a una nueva dirección IP que no estaba bajo nuestro control. Sin embargo, tres de los dominios (seconsave[.]com scanlostt[.]com y sensity[.]biz) siguen apuntando a nuestro servidor sinkhole. Pudimos identificar otros dominios relacionados que estaban alojados en otros servidores al mismo tiempo que estos dominios (cuando no apuntaban a nuestro sinkhole).

La conexión de estos dominios con la actual campaña de Dark Caracal no está clara. Las tácticas y las herramientas y procedimientos utilizados no coinciden, ya que los dominios mencionados están alojados en DigitalOcean, registrado con NameCheap y no mencionado en las muestras de Bandook, mientras que los dominios mencionados en las muestras de Bandook están alojados con el proveedor de alojamiento a prueba de balas OvO [ovo.sc], y registrados con una empresa llamada 1984 [1984.is]. Además, no observamos tráfico interesante o indicativo de una infección por Bandook en ninguno de los dominios apuntados a nuestro sinkhole, aparte de unclesow[.]com. La única conexión con esta campaña para estos dominios es el hecho de que fueron apuntados a nuestro sumidero automáticamente cuando lo configuramos. Por ahora sigue siendo un misterio.

Desde que registramos el dominio unclesow[.]com, los atacantes han cambiado el dominio de comando y control dos veces, primero a cudenpower.co y luego a bomes[.]ru. Sin embargo, en ambos casos y hasta el día de hoy, no han cambiado el dominio de infección secundario de unclesow[.]com, por lo que nuestro sumidero o sinkhole sigue funcionando incluso para nuevas muestras de malware. No está claro si los operadores del malware se dan cuenta de que su dominio secundario está controlado por nosotros en este momento.  

Bandook sigue evolucionando

Las versiones de Bandook que utiliza esta campaña parecen ser más recientes que las utilizadas en las últimas campañas de las que ha informado ESET. La primera etapa del malware ha pasado de utilizar GOST para cifrar la carga útil a utilizar DES para cifrar la carga útil de la segunda etapa. La clave para el descifrado se obtiene a partir de una frase de contraseña mediante hashing con el algoritmo RIPEMD-128.  

Además, el malware contiene 148 posibles comandos que puede enviar al ordenador infectado desde el servidor de comando y control, en lugar de los 132 anteriores en las muestras analizadas por ESET. Los comandos incluyen capacidades como: encender la webcam, añadir o eliminar archivos del ordenador, tomar el control del ratón, grabar la pantalla, iniciar una sesión de escritorio remoto y descargar otras librerías para obtener funcionalidades adicionales (para más información, véase el apéndice).

Estos cambios indican un profundo nexo con el grupo Dark Caracal, ya que el código fuente de Bandook no es público y el malware no está a la venta, por lo que sabemos.

En el momento de redactar este informe, 41 de los 70 productos antivirus de VirusTotal detectaron versiones de malware sin empaquetar, mientras que 35 de los 71 productos antivirus detectaron una muestra representativa de malware empaquetado.

Los servidores de mando y control están más bloqueados de lo que hemos visto en el pasado, con los únicos servicios abiertos siendo SSH y el servicio de mando y control escuchando en el puerto 2222. No hay interfaz de administración web como se ha visto en el pasado.

Victimology 

A partir de las conexiones a nuestro sumidero hemos observado víctimas en varios países de América Central y del Sur. Aproximadamente el 75% de los ordenadores infectados se encuentran en la República Dominicana y el 20% en Venezuela.

A world map color coded by the number of infections in each country. The highest number of infections is found in the Dominican Republic, followed by Venezuela, and a number of other Central and South American countires, the US, Canada, and UK also saw infections.

Un mapa de las infecciones de Bandook basado en los datos de Shodan

Dado que los ordenadores infectados se conectan al servidor sinkhole y realizan una petición http GET para la ruta `/flras/get.php?huln=nevi` aproximadamente cada tres horas, podemos estimar de forma fiable el número de máquinas infectadas. En su punto álgido, sospechamos que más de 800 ordenadores fueron infectados en esta campaña de malware. Sin embargo, este número puede ser inferior si algunas máquinas cambian sus direcciones IP a mitad del día debido a que se trasladan a una nueva red o a un cambio de dirección IP dinámico. Dado que todas las conexiones iniciadas por Bandook utilizan un agente de usuario estándar (véase el Apéndice), no tenemos forma de realizar un seguimiento de las máquinas individuales cuando cambian de dirección IP.

Dado que sólo se han observado muestras del malware Bandook para Windows, suponemos que las máquinas infectadas son todas ordenadores Windows.  Según los datos de Shodan, muchas de las direcciones IP pertenecen a routers de consumo en redes de ISP. Suponemos que esos routers tienen direcciones IP dinámicas que cambian con frecuencia, lo que aumenta el número de IP únicas que se conectan a nuestro sumidero.

Las infecciones disminuyen los sábados y, sobre todo, los domingos, lo que nos lleva a pensar que la mayoría de las máquinas infectadas se encuentran en lugares de negocios. Esta hipótesis también se ve corroborada por el descenso del número de conexiones desde máquinas infectadas en los principales días festivos, como Nochebuena, Navidad y Año Nuevo.

A Graph of unique connections by infected computers to the unclesow.com sinkhole per day. On most days the graph is between 700 and 800 infected computers, with the numbers dropping way down to 200-300 on holidays and weekends

Número de ordenadores infectados que se conectan a nuestro sumidero al día

Aunque no hemos podido contactar con ninguna de las víctimas de esta campaña actual, su localización abre la posibilidad de que se trate de una continuación de la campaña descrita en el Informe Bandidos at Large. Debido al historial de Dark Caracal de trabajar en nombre de gobiernos, tampoco podemos descartar esa posibilidad en este caso, aunque la identidad del cliente sigue siendo un misterio por ahora.

Gracias a ESET, Martjin Grooten, Jeremy Kennely, Bill Marczak y VirusTotal, por su ayuda en esta investigación.

Apéndice - Indicadores de compromiso

Dominios de mando y control:

deapproved[.]ru
cudenpower[.]co
bomes[.]ru
cumumberpro[.]org
unclesow[.]com - SINKHOLED


Dominios posiblemente relacionados
setsizee[.]com
seconsave[.]com
scanlostt[.]com
sanesity[.]biz
Email-securlink[.]com
Blackshok[.]com
Scannost[.]biz
sedsource[.]com
snappcost[.]com
scicuredsit[.]com
secredserv[.]com
savesomme[.]com
secursnd[.]com
Serversend[.]biz
Surfarr[.]com
subnettr[.]com
nertsecure[.]com
sendgriide[.]com
sso-siigninn[.]com

Indicadores de malware de Bandook
User agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:55.0) Gecko/2010010146b Firefox/55.0
Path connected to on sinkhole: /flras/get.php?huln=nevi

Selección de comandos Bandook
CaptureScreen
ClearCred
GetCamlist
SendCam
StopCam
Uninstall
CompressArchive
GenerateReports
GetWifi
StartShell
GetSound
SplitMyFile
GetAutoFTP
SendStartup
getkey
SendMTPList
SendMTPList2
GrabFileFromDevice
PutFileOnDevice
DeleteFileFromDevice
CopyMTP
ChromeInject
DisableChrome
RarFolder
SendUSBList
SignoutSkype
StealUSB
StartFileMonitor
SendFileMonLog
GetUSBMONLIST
GetFileMONLIST
StopUSBMonitor
SearchMain
StopSearch
StopFileMonitor
SendinfoList
EnableAndLoadCapList
DisableMouseCapture
AddAutoFTPToDB
DeleteAutoFTPFromDB
ExecuteTV
ExecuteAMMY
DDOSON
ExecuteTVNew
InstallMac
UnzipFile
GenerateOfflineDB
GetDDSize
RECSCREEN
StartLive
PREEW



Muestras de bandook desempaquetadas
1a2ff4a809b5a3757eaa05dc362acb2b227a7d02cb13d74c17d850d44181cf04

Packed Bandook Samples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353dcc4479725da180b0c12fdc433d46fddefdced3a967e7fe528d030a61a791
8a17dd089005204473ae8e1f298a5caf210db82961ef600da3653e4c3afbf314
Dd031eb32ea22e1ac6d3cacec042a2641878cc67e3b4b8482f32dc20e53e348d

013e252190aaa4b43bcb5ffe13d7b664873ddde38f8df29980d6599c89cb1c78
347de6ac8612bc2b291ceedba11356b5dd8b4b0d6b68357f6903cc676146fbd7
86d0e2434757f8fe71770b7d43b0112e780e420b7c9edeb527d1fd0cd02c0c61
9c540d911f6d17033e59fe3bb09181675cb7123b725f2b4ca1089f9351abc3df
cfd84f553f34d635bbb6ea04375b8090324e653b40e26b17731c5ead7c38406e
fbc8faeaddacba22fb306021c849608a26250e5ff464ed7c630675e87f1c3d16

Tags