El grupo de ciberdelincuentes APT37 utiliza un nuevo malware para robar datos de computadoras y celulares que utilizan Windows. Este grupo con foco en ciberespionaje también conocido como ‘RedEyes’ o ‘ScarCruft’, se cree que cuenta con el apoyo de Corea del Norte. Lo novedoso es que está utilizando un nuevo malware evasivo que incluye técnicas de esteganografía conocido como ‘M2RAT’y que afecta a una sección de memoria compartida para comandos y exfiltración de datos.

Actúa como un RAT (troyano de acceso remoto básico) que realiza el registro de teclas pulsadas por el usuario, roba de datos, registra también la ejecución de comandos y las capturas de pantalla desde el escritorio. Estaría dirigido hacia las personas para recopilar información de inteligencia, deja muy pocos rastros operativos en la máquina infectada, según lo que hemos investigado y comprobado.

En 2022, se vio a este grupo APT37 explotando “días cero” de Internet Explorer y distribuyendo una amplia variedad de malware contra entidades e individuos, como por ejemplo, a organizaciones con sede en la Unión Europea con una nueva versión de backdoor (troyanos de puerta trasera) llamado ‘Dolphin’ e implementaron un RAT personalizado llamado ‘Konni’ dirigidos a periodistas estadounidenses con un malware llamado ‘GoldBackdoor’.

En los últimos ataques recientes por APT37 que hemos observado, desde en enero de 2023, que envían correos electrónicos de phishing que contienen un archivo adjunto dañino. Al abrir este archivo adjunto desencadena un virus-exploit que ejecuta un shellcode en la computadora de la víctima que descarga y abre una ejecución maliciosa almacenada dentro de un archivo de imagen JPEG.

Este archivo de imagen JPG utiliza esteganografía, una técnica que permite ocultar código dentro de los archivos, para introducir sigilosamente el ejecutable M2RAT en el sistema e inyectarlo en “explorer.exe” y para la persistencia en el sistema, el malware agrega un nuevo valor en la clave de registro “Ejecutar”, con comandos para ejecutar un script de PowerShell a través de “cmd.exe”.

La capacidad de este malware para buscar dispositivos portátiles conectados a una computadora con Windows, como smartphones o tablets, es particularmente interesante. Si detecta un dispositivo portátil, escanea el contenido del dispositivo en busca de documentos y archivos de grabación de voz, si los encuentra, los copiará a la PC para filtrarlos al servidor del atacante. Luego los datos robados se comprimen en un archivo RAR protegido con contraseña y la copia local se borra de la memoria para eliminar cualquier rastro.

Este ataque está especialmente dirigido a los individuos de a pie que carecen de las herramientas necesarias para la detección temprana de este tipo de amenazas.