Expertos en ciberseguridad han detectado una reactivación reciente de FamousSparrow, un grupo APT presuntamente vinculado a China. Se creía que este actor de amenazas había cesado su actividad desde 2022.
El grupo ha reaparecido utilizando dos variantes no documentadas de su backdoor distintivo, SparrowDoor, dirigidas a organizaciones del sector financiero e instituciones de investigación en diversas naciones.
Investigadores de ESET identificaron esta actividad maliciosa en julio de 2024 durante el análisis de comportamientos anómalos en el sistema de una empresa comercial estadounidense con operaciones en el sector financiero.
Su análisis reveló que FamousSparrow no sólo había permanecido activo sino que había estado desarrollando significativamente su conjunto de herramientas, con marcadas mejoras en la calidad del código y la arquitectura de su puerta trasera insignia.
La campaña representa una evolución preocupante en las capacidades de FamousSparrow, ya que también se observó que el grupo usaba ShadowPad por primera vez, una puerta trasera vendida de forma privada que se sabe que se suministra exclusivamente a actores de amenazas alineados con China.
La cadena de ataque comienza con la implementación de webshell en servidores IIS o Exchange obsoletos, seguido del movimiento lateral y la instalación de variantes mejoradas de SparrowDoor.
En particular, los investigadores descubrieron que una versión de SparrowDoor ahora es modular, mientras que otra se parece a lo que otras empresas de seguridad han llamado «CrowDoor» y atribuido al grupo Earth Estries APT, lo que sugiere posibles superposiciones entre estos actores de amenazas.
La mejora técnica más significativa de las nuevas versiones de SparrowDoor es la paralelización de comandos que requieren mucho tiempo.
Este cambio de arquitectura permite que la puerta trasera continúe manejando nuevos comandos mientras se procesan operaciones prolongadas, como E/S de archivos y sesiones de shell interactivas.
Cuando la puerta trasera recibe comandos en paralelo, crea un nuevo hilo que inicia una conexión separada con el servidor de comando y control.
La identificación única de la víctima se envía a través de esta nueva conexión junto con un identificador de comando, lo que permite al servidor C&C rastrear qué conexiones se relacionan con la misma víctima.
Luego, cada hilo maneja subcomandos específicos de forma independiente.
Este enfoque de subprocesos múltiples representa un avance sofisticado con respecto a versiones anteriores, lo que hace que la puerta trasera sea más eficiente y receptiva.
Al igual que con variantes anteriores, la persistencia se establece a través de un servicio llamado «K7Soft» que se ejecuta automáticamente al inicio o mediante una clave Ejecutar del registro con el mismo nombre.
El descubrimiento destaca cómo los grupos APT sofisticados mejoran continuamente sus conjuntos de herramientas incluso durante períodos de aparente inactividad, lo que refuerza la necesidad de que las organizaciones mantengan medidas de seguridad sólidas contra las amenazas en evolución.
