Los investigadores han denominado al malware Backdoor.Daxin y han colaborado con la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) para colaborar con varios gobiernos extranjeros que son objetivo de Daxin y ayudarles a detectar y remediar este malware.
Daxin permite a los atacantes realizar diversas operaciones de comunicación y recopilación de datos en una computadora infectada. Symantec indica que hay pruebas fehacientes de que ha sido utilizado tan recientemente como en noviembre de 2021 por atacantes vinculados a China. Además, se encontraron otras herramientas asociadas a espías chinos en algunas de las máquinas donde se desplegó Daxin.
Los investigadores de Symantec dijeron que Backdoor.Daxin es, sin duda alguna, el malware más avanzado que han visto, con vínculos con China. Añadieron que Daxin parece estar optimizado para su uso contra objetivos altamente protegidos, lo que permite a los atacantes adentrarse en la red de un objetivo y exfiltrar datos sin levantar sospechas.
Según Symantec, Daxin se presenta en forma de controlador del kernel de Windows, que es un formato relativamente infrecuente para el malware hoy en día. Implementa funcionalidades de comunicación avanzadas, lo que le confiere un alto grado de sigilo y permite a los atacantes comunicarse con las computadoras infectadas, en redes de alta seguridad, en las que no se dispone de conectividad directa a Internet. Symantec dijo que estas características recuerdan a Regin, una herramienta de espionaje avanzado que descubrió en 2014 y que ha sido vinculada a servicios de inteligencia occidentales.
Las características y capacidades del malware llevan a los investigadores a creer que los atacantes invirtieron un esfuerzo significativo en el desarrollo de técnicas de comunicación que pueden mezclarse sin ser detectadas con el tráfico de red normal en la red del objetivo. El malware evita iniciar sus propios servicios de red, pero puede abusar de cualquier servicio legítimo que ya esté funcionando en los sistemas infectados.
Daxin también puede retransmitir sus comunicaciones a través de una red de PCs infectados dentro de la organización atacada. Los atacantes pueden seleccionar una ruta arbitraria a través de las máquinas infectadas y enviar un único comando que les ordene establecer la conectividad solicitada. También cuenta con túneles de red, lo que permite a los atacantes comunicarse con servicios legítimos de la red de la víctima a los que se puede acceder desde cualquier PC infectado.
Daxin permite además a los atacantes realizar operaciones remotas en los sistemas infectados, como leer y escribir archivos, así como iniciar procesos arbitrarios e interactuar con ellos. Sin embargo, su verdadero valor, según los investigadores, reside en sus capacidades de ocultación y comunicación.
Daxin puede secuestrar conexiones TCP/IP legítimas monitorizando todo el tráfico TCP entrante en busca de determinados patrones. Cuando detecta estos patrones, desconecta al destinatario legítimo y toma el control de la conexión. A continuación, puede llevar a cabo un intercambio de claves personalizado con el par remoto, en el que ambas partes siguen pasos complementarios. El malware puede ser tanto el iniciador como el objetivo de un intercambio de claves.
Un intercambio de claves exitoso abre un canal de comunicación cifrado para recibir comandos y enviar respuestas. Esto puede ayudar a Daxin a establecer la conectividad en redes con reglas estrictas de cortafuegos, reduciendo de paso el riesgo de detección.
Los investigadores afirman que la funcionalidad más interesante podría ser su capacidad para crear nuevos canales de comunicación a través de múltiples computadoras infectadas, donde la lista de nodos es proporcionada por el atacante en un único comando. Para cada nodo, el mensaje incluye todos los detalles necesarios para establecer la comunicación, concretamente la dirección IP del nodo, su número de puerto TCP y las credenciales para el intercambio de claves personalizado.
Cuando Daxin recibe el mensaje, elige el siguiente nodo de la lista, y luego utiliza su propia pila TCP/IP para conectarse al servidor TCP que aparece en la entrada seleccionada. Una vez conectado, el malware inicia el protocolo del lado del iniciador. Si el ordenador homólogo está infectado, se abre un nuevo canal de comunicación cifrado. A continuación, se envía una copia actualizada del mensaje original al nuevo canal, y el proceso se repite para el resto de los nodos.
“Aunque no es raro que las comunicaciones de los atacantes realicen múltiples saltos a través de las redes con el fin de sortear los cortafuegos y, en general, evitar levantar sospechas, esto suele hacerse paso a paso, de manera que cada salto requiere una acción independiente”, escriben los investigadores de Symantec, agregando que “Sin embargo, en el caso de Daxin, este proceso es una sola operación, lo que sugiere que el malware está diseñado para ataques en redes bien protegidas, donde los atacantes pueden necesitar reconectarse periódicamente a los ordenadores comprometidos”.