Actores chinos utilizan MysterySnail RAT para explotar Zero Day de Windows

Un grupo de amenazas vinculado a China, denominado IronHusky, ha estado explotando una vulnerabilidad de día cero para implementar MysterySnail RAT. Los atacantes han descubierto un exploit de día cero en Windows para elevar los privilegios y hacerse cargo de los servidores. Según Kaspersky, la campaña afecta a las versiones de servidor y cliente de […]

Un grupo de amenazas vinculado a China, denominado IronHusky, ha estado explotando una vulnerabilidad de día cero para implementar MysterySnail RAT. Los atacantes han descubierto un exploit de día cero en Windows para elevar los privilegios y hacerse cargo de los servidores.

Según Kaspersky, la campaña afecta a las versiones de servidor y cliente de Windows, desde Windows 7 y Windows Server 2008 hasta las últimas versiones, incluidas Windows 11 y Windows Server 2022.

IronHusky está aprovechando el día cero para instalar un shell remoto para realizar actividades maliciosas (por ejemplo, implementar el malware MysterySnail previamente desconocido) en los servidores de destino.

MysterySnail recopila y roba información del sistema antes de comunicarse con su servidor C2 para obtener más comandos. Realiza múltiples tareas, como generar nuevos procesos, eliminar los en ejecución, lanzar shells interactivos y ejecutar un servidor proxy con soporte para hasta 50 conexiones paralelas.

Una de las muestras analizadas es de gran tamaño, alrededor de 8,29 MB, ya que se está compilando utilizando la biblioteca OpenSSL. Además, utiliza dos funciones grandes para desperdiciar los ciclos del reloj del procesador, lo que resulta en su voluminoso tamaño.

El malware no es tan sofisticado, sin embargo, viene con una gran cantidad de comandos implementados y capacidades adicionales, como buscar unidades de disco insertadas y actuar como un proxy.

Sobre el día cero

El error explotado, registrado como CVE-2021-40449, ya fue parchado por Microsoft en el ”martes de parches” de octubre. Es una vulnerabilidad de uso después de la liberación, causada por una función ResetDC que se ejecuta por segunda vez.

Kaspersky ha vinculado MysterySnail RAT con el grupo IronHusky APT, debido a la reutilización de la infraestructura C2 empleada por primera vez en 2012. Otras campañas utilizaron variantes anteriores del malware.
Además, se ha descubierto una superposición directa de código y funcionalidad con el malware asociado con IronHusky.