El grupo de amenazas persistentes avanzadas (APT) Earth Preta, también conocido como Mustang Panda, ha perfeccionado sus técnicas de ataque para evadir la detección de antivirus.
Recientemente, el equipo de Threat Hunting de Trend Micro descubrió que este grupo emplea el injector de virtualización de aplicaciones de Microsoft (MAVInject.exe) para inyectar código malicioso en waitfor.exe, un ejecutable de Windows, cuando detecta la presencia del antivirus ESET.
Earth Preta centra sus ataques en la región de Asia y el Pacífico, con objetivos en Taiwán, Vietnam y Malasia, entre otros.
Desde 2022, este grupo ha comprometido más de 200 sistemas, enfocándose en entidades gubernamentales mediante campañas de phishing.
Técnica de ataque y persistencia de Earth Preta
El ataque de Earth Preta comienza con la ejecución del archivo IRSetup.exe, que despliega varios archivos en el directorio ProgramData/session. Estos incluyen ejecutables legítimos junto con componentes maliciosos.
Asimismo, se utiliza un documento PDF señuelo para distraer a la víctima mientras el malware se instala en el sistema.
El grupo también usa Setup Factory, un generador de instaladores para Windows, para desplegar su código malicioso y asegurar su persistencia.
Posteriormente, el malware dropper ejecuta OriginLegacyCLI, una aplicación legítima de Electronic Arts (EA), para cargar lateralmente la puerta trasera TONESHELL mediante una versión modificada del archivo EACore.dll.
Elusión de la detección
Para evitar la identificación por parte de las soluciones de seguridad, el malware verifica si los procesos ekrn.exe o egui.exe (relacionados con el antivirus de ESET) están en ejecución.
Si los encuentra, utiliza MAVInject.exe para inyectar código malicioso en waitfor.exe.
En caso contrario, recurre a técnicas alternativas como la inyección directa en memoria mediante las API WriteProcessMemory y CreateRemoteThreadEx.
Un grupo APT que evade la detección
Earth Preta sigue evolucionando sus técnicas para burlar las medidas de seguridad y comprometer sistemas críticos.
Las organizaciones deben reforzar sus estrategias de detección y monitoreo, prestando especial atención a comportamientos sospechosos en procesos legítimos.
La inteligencia de amenazas, como la proporcionada por Trend Vision One, puede ser clave para identificar y mitigar ataques antes de que causen daños irreparables.
Para obtener más datos sobre el estudio completo, pueden visitar este enlace.
Con información de Trend Micro.
Más historias
Nvidia reduce su participación en Arm y apuesta por WeRide
Reddit introduce muro de pago en 2025
Apple explora el futuro de la robótica humanoide