Scarab, un actor de amenazas de lengua china, de ha sido vinculado a una puerta trasera o "backdoor" personalizada apodada HeaderTip como parte de una campaña dirigida a Ucrania desde que Rusia invadió a Ucrania el mes pasado, convirtiéndose en el segundo grupo de hackers con sede en China después de Mustang Panda en capitalizar el conflicto.

"La actividad maliciosa representa uno de los primeros ejemplos públicos de un actor de amenazas chino dirigido a Ucrania desde que comenzó la invasión", dijo el investigador Tom Hegel de la empresa de ciberseguridad SentinelOne en un informe publicado esta semana.

El análisis de SentinelOne viene por un aviso del Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA) de principios de esta semana en el que se describe una campaña de spear-phishing que lleva a la entrega de un archivo de extensión RAR, que viene con un ejecutable diseñado para abrir un archivo señuelo mientras deja caer sigilosamente el "malware" DLL llamado HeaderTip en segundo plano.

Cronología aproximada de la reciente actividad cibernética del conflicto ucraniano

En enero de 2015 el Equipo de Cazadores de Amenazas de Symantec parte de la empresa Broadcom Software, fue quien documentó por primera vez Scarab, y detalló los ataques altamente dirigidos contra individuos de habla rusa desde al menos enero de 2012 para desplegar una puerta trasera llamada Scieron.

"Si los atacantes logran comprometer los ordenadores de las víctimas, entonces utilizan una amenaza básica de puerta trasera llamada Trojan.Scieron para dejar caer Trojan.Scieron.B en el ordenador", señalaron entonces los investigadores de Symantec. "Trojan.Scieron.B tiene un componente similar a un rootkit que oculta parte de su actividad en la red y cuenta con una funcionalidad de puerta trasera más mejorada".

Las conexiones de HeaderTip con Scarab provienen de solapamientos de malware e infraestructura con el de Scieron, y SentinelOne calificó a este último como predecesor del "backdoor" recién descubierto. Diseñado como un archivo DLL de 32 bits y escrito en C++, HeaderTip tiene un tamaño de 9,7 KB y su funcionalidad se limita a actuar como un paquete de primera etapa para obtener módulos de la siguiente etapa desde un servidor remoto.

"Basándonos en los objetivos conocidos desde 2020, incluidos los de Ucrania en marzo de 2022, además del uso específico del lenguaje, evaluamos con una confianza moderada que Scarab es de habla china y opera con fines de recolección de inteligencia geopolítica", dijo Hegel.