Los investigadores han identificado una serie de ataques sofisticados por parte del famoso grupo Lazarus dirigidos a servidores web de Corea del Sur.
Los actores de amenazas han estado violando servidores IIS para implementar shells web basados en ASP, que posteriormente se utilizan como servidores de Comando y Control (C2) de primera etapa que envían comunicaciones a la infraestructura C2 de segunda etapa.
Estos ataques, identificados en enero de 2025, representan una evolución de técnicas similares observadas en mayo de 2024, lo que indica tácticas persistentes y adaptativas de este grupo de amenazas patrocinado por el Estado.
El grupo Lazarus ha demostrado un patrón consistente de comprometer servidores web legítimos para establecer su infraestructura de ataque.
AhnLab Security Intelligence Center (ASEC) informa que en las campañas recientemente descubiertas, los atacantes instalaron múltiples web shells en formato ASP en servidores IIS vulnerables, incluido el web shell modificado «RedHat Hacker» guardado con el nombre de archivo «function2.asp».
A diferencia de iteraciones anteriores que usaban la contraseña “1234qwer”, la última variante emplea “2345rdx” como mecanismo de autenticación, lo que indica una evolución en sus medidas de seguridad operativas.
También se implementaron shells web adicionales llamados “file_uploader_ok.asp” y “find_pwd.asp”, proporcionando a los atacantes capacidades integrales para la manipulación de archivos, operaciones de procesos e incluso ejecución de consultas SQL.
Estos web shells utilizan técnicas sofisticadas de ofuscación y permanecen codificados en formato VBE incluso después de la decodificación inicial, lo que dificulta la detección y el análisis para los equipos de seguridad.
La sofisticación técnica de estos web shells es evidente en su estructura de mando. El código malicioso verifica los paquetes de inicialización comprobando si el segundo y tercer bytes contienen la cadena «OK» y utiliza el primer byte como clave de cifrado.
Se implementa mayor seguridad a través de cadenas aleatorias como “xdmCz1eQ:?EkQ0d%c%r%jgY!fjabTTA0” y “#N@BGjn8g5!yCJAfiEFzq04Cqr%dFvcX” para los respectivos web shells.
El script C2 implementado en los ataques de enero de 2025 funciona como proxy entre los sistemas comprometidos y la infraestructura de los atacantes.
A diferencia de las variantes anteriores, el nuevo script admite tanto datos de formularios como datos de cookies durante el proceso de comunicación, lo que demuestra el continuo perfeccionamiento de sus herramientas por parte del grupo.
El script procesa varios comandos según el valor del campo «código» en los datos del formulario.
Los comandos incluyen «MidRequest» para redirigir datos, «ProxyCheck» para guardar Mid Info, «ReadFile» y «WriteFile» para operaciones de archivos, «ClientHello» para responder con Mid Info y otros que facilitan el control de los atacantes sobre el sistema comprometido.
Más allá de los shells web, los atacantes implementaron el malware LazarLoader para descargar cargas útiles adicionales. Este sofisticado cargador descifra y ejecuta cargas útiles en la memoria utilizando una clave de 16 bytes identificada como «Node.Js_NpmStart».
La cadena de infección generalmente comienza con la instalación del shell web y la implementación de LazarLoader a través del proceso del servidor web IIS w3wp.exe.
