La infraestructura del servidor de un popular emulador de Android supuestamente se vio comprometida en una campaña de ciberespionaje dirigida a jugadores en línea en Asia, y solo un puñado de víctimas seleccionadas recibieron malware.
Apodado "Operation NightScout" por los investigadores de ESET, el ataque altamente dirigido a la cadena de suministro involucró un mecanismo de actualización comprometido de NoxPlayer, un emulador de Android para PC y Mac, utilizado por los jugadores para jugar juegos móviles desde sus computadoras.
La campaña fue descubierta el 25 de enero de 2021 y estaba dirigida a BigNox, una empresa con sede en Hong Kong detrás de NoxPlayer, que afirma tener más de 150 millones de usuarios en todo el mundo, la mayoría de ellos ubicados en Asia.
Según ESET, el actor malicioso comprometió una de las API oficiales de la compañía (api.bignox.com) y los servidores de alojamiento de archivos (res06.bignox.com). Luego, los atacantes manipularon el campo de URL, proporcionado en la respuesta de la API de BigNox, para entregar actualizaciones relacionadas con malware a los usuarios.
Los investigadores dijeron que informaron a BigNox de una violación de seguridad, pero la compañía negó que hubiera sido pirateada.
La telemetría de ESET mostró que más de 100.000 usuarios tenían Noxplayer instalado en sus máquinas, sin embargo, solo cinco de ellos recibieron una actualización maliciosa. Estos usuarios tenían su sede en Taiwán, Hong Kong y Sri Lanka, y los investigadores no pudieron encontrar conexiones entre las víctimas.
Con base en sus hallazgos, la firma de seguridad cree que el propósito de esta campaña es el ciberespionaje, no la ganancia financiera.
Las actualizaciones maliciosas se enviaron a las víctimas en septiembre de 2020, con cargas útiles adicionales descargadas de la infraestructura controlada por el atacante a fines de 2020 y principios de 2021.
Los investigadores identificaron tres familias de malware entregadas a través de este ataque a la cadena de suministro. Uno era un malware no denunciado anteriormente, no extremadamente complejo, pero capaz de monitorear a las víctimas. Las otras dos cepas de malware incluían una variante de Ghost RAT con capacidades de registrador de teclas y una variante de PoisonIvy RAT.
“El compromiso de la cadena de suministro involucrado en Operation NightScout es particularmente interesante debido a la vertical objetivo, ya que rara vez encontramos muchas operaciones de ciberespionaje dirigidas a jugadores en línea. Los ataques a la cadena de suministro seguirán siendo un vector de compromiso común aprovechado por los grupos de ciberespionaje, y su complejidad puede afectar el descubrimiento y la mitigación de este tipo de incidentes ”, señaló ESET.
