Investigadores de ESET rastrearon actividades maliciosas asociadas al grupo Ke3chang, también conocido como APT15. Descubrieron una familia de malware indocumentada con fuertes vínculos con el grupo, un backdoor llamado Okrum. Este troyano se detectó por primera vez en diciembre del 2016 y su objetivo eran misiones diplomáticas en Eslovaquia, Bélgica, Chile, Guatemala y Brasil durante el 2017.

El payload de Okrum viene oculto en un archivo PNG, cuando se abre el archivo en un visor de imagen, este muestra una foto relacionada con algún programa del sistema, pero los cargadores Okrum pueden localizar un archivo cifrado adicional que la víctima no puede ver. Es así como el grupo de ciberdelincuentes logran pasar desapercibidos y evadir cualquier tipo de detección, con la técnica de esteganografía. 

La funcionalidad de Okrum solo está equipado con comandos de backdoor básicos como descargar y cargar archivos, ejecutar archivos y comandos de shell. La mayoría de las actividades maliciosas se deben realizar escribiendo comandos de shell manualmente o ejecutando otras herramientas y sotfware. Técnica comúnmente utilizada por el grupo Ke3chang, según detalla MITRE ATT&CK™.

Se recomienda lo siguiente:

• Realizar campañas comunicacionales permanentes dirigidas a clientes y colaboradores de las organizaciones afectadas, que expliquen el funcionamiento de los phishing y malspam.
• Escanear todos los archivos adjuntos, antes de abrirlos, con un antivirus que detecte comportamientos para combatir amenazas.
• Generar una regla personalizada para bloqueos de IOC’s en perfiles entrantes perimetrales.
• Mantener actualizadas todas las plataformas de tecnologías y de detección de amenazas.
• Revisar los controles de seguridad de los AntiSpam y SandBoxing.
• Nunca seguir la instrucción de deshabilitar las funciones de seguridad, si un correo electrónico o documento lo solicita.
• Comunicarse con el remitente para confirmar si un archivo adjunto es confiable.
• Aprender a detectar correos electrónicos sospechosos que utilizan nombres de empresas reales y adoptan su imagen.
• Tener activado el UAC (control de cuentas de usuario) de Windows.