El grupo de amenazas Ke3chang que se cree que está trabajando en nombre del gobierno chino ha actualizado su conjunto de herramientas de piratería con un nuevo malware denominado Ketrum, que toma prestadas partes del código fuente y características de los implantes Ketrican y Okrum más antiguos del grupo.
El equipo de Ke3chang (también conocido como APT15, Vixen Panda, Playful Dragon y Royal APT) ha estado activo desde al menos 2010 y es conocido por sus ataques contra varias entidades de alto perfil que abarcan múltiples continentes, con ministerios europeos, embajadas indias y militares británicos. contratistas entre las víctimas.
En un informe reciente que describe el funcionamiento interno del malware Ketrum, los investigadores de Intezer dijeron que descubrieron tres muestras cargadas en VirusTotal que comparten código con implantes APT15 más antiguos. El nuevo malware se ha denominado "Ketrum" debido a la fusión de características en las familias documentadas de puertas traseras "Ketrican" y "Okrum".
Las muestras de Ketrum analizadas por los investigadores mostraron que Ke3chang continúa con su estrategia de usar puertas traseras básicas que les permitan hacerse cargo del dispositivo objetivo, conectarse a él desde un servidor remoto y realizar manualmente más operaciones.
“Ambas muestras de Ketrum se asemejan a un diseño similar a las herramientas de Ke3chang anteriores, aparte de la implementación de bajo nivel y el uso de las API del sistema. Incluso en las dos muestras de Ketrum, existen diferencias entre las API de bajo nivel utilizadas para lograr la misma funcionalidad ”, dijo el informe.
Las tres muestras se comunicaron con el mismo servidor de comando y control y se han utilizado en dos períodos de tiempo diferentes. El servidor de C&C se cerró a mediados de mayo después de que se descubrieron las muestras de Ketrum.
La muestra Ketrum 1 se cargó en VirusTotal en diciembre de 2019 y vino con una marca de tiempo falsa del 7 de enero de 2010. La muestra incorpora la mayoría de las características disponibles en las puertas traseras de Ketrican y Okrum. Sin embargo, la muestra Ketrum 2 parece estar construida para el minimalismo y solo tiene una funcionalidad básica de puerta trasera.
“A diferencia de la variante Ketrican, los implantes Ketrum ya no intentan debilitar las configuraciones de seguridad del sistema. En implantes anteriores, se utilizó Powershell para este fin ", según el informe.
“Las numerosas herramientas de Ke3chang, como Okrum, Ketrican, TidePool, Mirage, Ketrum y otras, tienen el mismo propósito, dan o toman algunas técnicas o funcionalidades adaptadas para objetivos específicos. El grupo continúa transformando su código y cambiando funcionalidades básicas en sus diversas puertas traseras. Esta estrategia ha estado funcionando para el grupo durante años y todavía no hay indicios de que se desvíe de este modus operandi ”, concluyeron los investigadores.
