Investigadores de ESET rastrearon actividades maliciosas asociadas al grupo Ke3chang, también conocido como APT15. Descubrieron una familia de malware indocumentada con fuertes vínculos con el grupo, un backdoor llamado Okrum. Este troyano se detectó por primera vez en diciembre del 2016 y su objetivo eran misiones diplomáticas en Eslovaquia, Bélgica, Chile, Guatemala y Brasil durante el 2017.
El payload de Okrum viene oculto en un archivo PNG, cuando se abre el archivo en un visor de imagen, este muestra una foto relacionada con algún programa del sistema, pero los cargadores Okrum pueden localizar un archivo cifrado adicional que la víctima no puede ver. Es así como el grupo de ciberdelincuentes logran pasar desapercibidos y evadir cualquier tipo de detección, con la técnica de esteganografía.
La funcionalidad de Okrum solo está equipado con comandos de backdoor básicos como descargar y cargar archivos, ejecutar archivos y comandos de shell. La mayoría de las actividades maliciosas se deben realizar escribiendo comandos de shell manualmente o ejecutando otras herramientas y sotfware. Técnica comúnmente utilizada por el grupo Ke3chang, según detalla MITRE ATT&CK™.
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
Microsoft Windows |
7 8 8.1 10 |