O ator de ameaças conhecido como Space Pirates foi vinculado a uma campanha maliciosa que visa organizações de tecnologia da informação (IT) russas com um malware anteriormente não documentado chamado LuckyStrike Agent.
A atividade foi detectada em novembro de 2024 pela Solar, braço de cibersegurança da companhia de telecomunicações estatal russa Rostelecom, que está rastreando a atividade sob o nome Erudite Mogwai.
Os ataques também são caracterizados pelo uso de outras ferramentas, como Deed RAT, também chamado de ShadowPad Light, e uma versão personalizada de utilitário proxy chamada Stowaway, que foi anteriormente usada por outros grupos de hackers vinculados à China.
"Erudite Mogwai é um dos grupos APT ativos especializados no roubo de informações confidenciais e espionagem", disseram os pesquisadores da Solar.
Desde pelo menos 2017, o grupo vem atacando agências governamentais, departamentos de IT de várias organizações, bem como empresas relacionadas a indústrias de alta tecnologia, como aeroespacial e energia elétrica.
O ator de ameaças foi documentado publicamente pela primeira vez pela Positive Technologies em 2022, detalhando seu uso exclusivo do malware Deed RAT.
Acredita-se que o grupo compartilhe sobreposições táticas com outro grupo de hackers chamado Webworm.
É conhecido por visar organizações na Rússia, Geórgia e Mongólia.
Em um dos ataques direcionados a um cliente do setor governamental, a Solar disse que descobriu o invasor implantando várias ferramentas para facilitar o reconhecimento, enquanto também soltava LuckyStrike Agent, um backdoor .NET multifuncional que usa o Microsoft OneDrive para comando e controle (C2).
"Os invasores ganharam acesso à infraestrutura comprometendo um serviço web publicamente acessível não mais tarde que março de 2023 e, em seguida, começaram a procurar por 'frutas baixas' na infraestrutura", disse Solar.
Ao longo de 19 meses, os invasores se espalharam lentamente pelos sistemas do cliente até alcançarem os segmentos de rede conectados ao monitoramento em novembro de 2024.
Também é digno de nota o uso de uma versão modificada de Stowaway para reter apenas sua funcionalidade de proxy, juntamente com o uso de LZ4 como um algoritmo de compressão, incorporando XXTEA como um algoritmo de criptografia e adicionando suporte para o protocolo de transporte QUIC.
"Erudite Mogwai começou sua jornada modificando essa utilidade ao cortar a funcionalidade de que não precisavam", disse Solar.
Eles continuaram com pequenas edições, como renomear funções e mudar os tamanhos das estruturas (provavelmente para derrubar assinaturas de detecção existentes).
No momento, a versão de Stowaway usada por este grupo pode ser chamada de um fork completo.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...