La empresa de ciberseguridad QiAnXin XLab ha identificado una nueva puerta trasera PHP llamada Glutton, que se ha aprovechado en ciberataques dirigidos en varios países, incluidos China, Estados Unidos, Camboya, Pakistán y Sudáfrica. Este malware, vinculado con moderada confianza al grupo Winnti (también conocido como APT41) patrocinado por el estado chino, ha llamado la atención debido a su enfoque único de atacar a los propios ciberdelincuentes.
QiAnXin XLab descubre la puerta trasera Glutton utilizada en ciberataques
Glutton, descubierto a finales de abril de 2024 pero que se cree que se implementó ya en diciembre de 2023, está diseñado para recopilar información confidencial del sistema y ejecutar código malicioso en marcos PHP populares como Laravel, ThinkPHP y Yii. La puerta trasera deja caer un componente ELF y se ha caracterizado por tener una «similitud casi completa» con la conocida herramienta PWNLNX de Winnti. Sin embargo, los investigadores notaron una «falta de técnicas de sigilo» típicas de las campañas de Winnti, lo que sugiere que el malware aún puede estar en desarrollo.
El malware Glutton opera a través de varios módulos, y el módulo “task_loader” desempeña un papel fundamental al evaluar el entorno de ejecución. Las funciones principales admitidas por la puerta trasera incluyen la inyección de código, la creación de persistencia y la comunicación con servidores de comando y control (C2) a través de HTTP no seguro.
¿Qué es el glotón?
Glutton es un marco de malware modular que ejecuta sus operaciones sin dejar la evidencia tradicional basada en archivos, logrando sigilo al ejecutar instrucciones dentro de los procesos PHP o PHP-FPM. Este enfoque le permite soltar cargas útiles de forma dinámica y al mismo tiempo evadir los mecanismos de detección comúnmente empleados por las herramientas de ciberseguridad. El marco incluye componentes como «init_task», que instala la puerta trasera, y «client_loader», que introduce protocolos de red refinados para mejorar sus capacidades de implementación.
El conjunto de comandos de Glutton es extenso y permite una variedad de operaciones como manipulación de archivos, ejecución de comandos y la capacidad de cambiar entre TCP y UDP para conexiones C2. Admite 22 comandos únicos que permiten acciones como recuperar metadatos del host y ejecutar código PHP arbitrario. La capacidad de la puerta trasera para modificar archivos críticos del sistema, incluidos aquellos asociados con la configuración de red, garantiza su persistencia incluso después de reiniciar el sistema.
La policía serbia supuestamente utiliza el software espía NoviSpy para vigilar a los periodistas
Las investigaciones revelan que los autores del malware están utilizando Glutton no sólo para el espionaje tradicional sino también para dirigir operaciones de cibercrimen contra otros atacantes. Al incorporar Glutton en paquetes de software accesibles vendidos en foros de cibercrimen, dirigidos principalmente a estafadores que venden servicios engañosos, los creadores han posicionado la puerta trasera para extraer datos confidenciales de ciberdelincuentes rivales a través de herramientas como HackBrowserData.
La estrategia de focalización refleja un enfoque innovador descrito por XLab como “el negro se come al negro”, indicando una táctica en la que Winnti se infiltra y socava a los adversarios rivales en el sector del cibercrimen. Según se informa, Glutton se ha utilizado contra sistemas pertenecientes a proveedores de servicios de TI, agencias de seguridad social y desarrolladores de aplicaciones web, centrándose en herramientas ampliamente utilizadas en el ecosistema cibercriminal.
El malware se descubrió en entornos comprometidos que utilizan marcos PHP populares, que son fundamentales para el funcionamiento de numerosas aplicaciones empresariales.
Crédito de la imagen destacada: James Yarema/Unsplash
