Worok: nuevo grupo de ciberespionaje que utiliza herramientas previamente desconocidas

Se ha descubierto recientemente el uso de herramientas que nunca habían sido documentadas previamente, que fueron utilizadas en ataques dirigidos contra empresas de alto perfil y organismos gubernamentales, principalmente en Asia. Estos ataques fueron realizados por un grupo de espionaje previamente desconocido al que hemos llamado Worok. Este grupo ha estado activo desde al menos 2020. El conjunto de herramientas que utiliza Worok incluye CLRLoad, un loader en C++,  PowHeartBeat, un backdoor en PowerShell y PNGLoad, un loader en C# que usa esteganografía para extraer payloads maliciosos ocultos desde archivos PNG.

¿Qué es Worok?

Durante la divulgación de la vulnerabilidad de ProxyShell (CVE-2021-34523) a principios de 2021, desde los laboratorios de ESET detectamos actividad de varios grupos de APT explotando las vulnerabilidades en Microsoft Exchange. Uno de ellos mostró características comunes con TA428:

  • Horarios de actividad
  • Mercados verticales a los que apuntó
  • Uso de ShadowPad

El resto del conjunto de herramientas es muy diferente: por ejemplo, TA428 participó en el compromiso de Able Desktop en 2020. Consideramos que los vínculos no son lo suficientemente fuertes como para considerar que Worok es el mismo grupo que TA428, pero los dos grupos podrían compartir herramientas. y tienen intereses comunes. Por lo tanto, decidimos crear un grupo y lo llamamos Worok. El nombre fue elegido después de un mutex en un loader utilizado por el grupo. Luego se pudo vincular a este grupo actividad posterior en la que se utilizó variantes de las mismas herramientas. Según la telemetría de ESET, Worok ha estado activo desde fines de 2020 y continúa en actividad al momento de escribir este artículo.

A fines de 2020, Worok estaba apuntando a gobiernos y empresas en varios países, en particular a:

  • Una empresa de telecomunicaciones en el este de Asia
  • Un banco en Asia Central
  • Una empresa de la industria marítima en el sudeste asiático
  • Una entidad gubernamental en el Medio Oriente
  • Una empresa privada en el sur de África

Hubo una interrupción significativa en sus operaciones entre mayo de 2021 y enero de 2022, pero la actividad de Worok regresó en 2022-02 apuntando a:

  • Una empresa de energía en Asia Central
  • Un organismo público en el sudeste asiático

Regresar a Noticias
T-Cert / Tigo Copyright©, Guatemala todos los derechos reservados.