La táctica principal de OceanLotus en este ataque consistió en lanzar proyectos de herramientas de seguridad de código abierto en GitHub, dirigiéndose estratégicamente a investigadores chinos en ciberseguridad. El ataque se realizó entre mediados de septiembre y principios de octubre de 2024, utilizando un método novedoso y oculto al incrustar un archivo .suo malicioso en un proyecto de Visual Studio. Al abrir y compilar el proyecto, el troyano se ejecutaba automáticamente.
Los atacantes crearon una cuenta de GitHub el 10 de octubre, haciéndose pasar por un investigador de seguridad de una prestigiosa empresa tecnológica china. Publicaron proyectos maliciosos que contenían nuevos complementos para Cobalt Strike, utilizando descripciones en chino para atraer a más víctimas. Aunque dicha cuenta ha eliminado los proyectos, el código envenenado sigue accesible debido a su fusión con repositorios de otros investigadores.
Se detectó que los atacantes emplearon traducciones automáticas evidentes, indicando que buscaban guiar a sus objetivos a abrir los archivos .sln del proyecto. La técnica para ejecutar el código malicioso, al abrir estos archivos en Visual Studio, involucraba llamar automáticamente al archivo .suo relacionado. Este enfoque ocultaba el código malicioso, que se ejecutaba brevemente antes de ser sobrescrito y eliminado, dificultando su detección.
La ejecución del código malicioso se desencadenaba mediante una secuencia específica en el servicio VsToolboxService, donde se deserializaba utilizando BinaryFormatter, escondido en base64. Después de la ejecución, se liberaban componentes maliciosos en un directorio específico y se escribían en el registro de inicio automático del sistema. La organización OceanLotus utilizó técnicas comunes de inyección de DLL, cargando el sistema xpsservices.dll para realizar funciones maliciosas y comunicarse con servidores de comando y control (C2) usando la API de la plataforma de toma de notas Notion, lo que les permitía evadir detección e intercepción de tráfico.
ThreatBook identificó otros activos relacionados con la actividad del ataque, los cuales mostraban características específicas de mapeo de puertos. Se observó que el rango de tiempo del ataque coincidía con el ámbito de implementación de los activos de OceanLotus, que han ido dirigidos a industrias y grupos en China, incluidos organismos gubernamentales y grandes empresas tecnológicas.
La investigación no solo retrata un avance significativo en las capacidades de ataque de OceanLotus, sino también un cambio en la estrategia, ya que su enfoque en el atrajo a investigadores de ciberseguridad refleja su deseo de infiltrarse dentro de la comunidad antes de lanzar ataques más amplios. Según análisis posteriores, los ataques han cobrado impulso en la industria de la ciberseguridad en China, generando un importante interés y discusión en blogs dedicados al tema.
La serie de ataques de OceanLotus tiene como objetivo el control remoto y el robo de inteligencia, y con este enfoque, han logrado poner en riesgo a un grupo selecto de investigadores y empresas tecnológicas. En resumen, este incidente subraya la creciente complejidad y sofisticación de las amenazas cibernéticas, donde los atacantes aprovechan canales legítimos y herramientas ampliamente utilizadas para implementar ataques maliciosos sin ser detectados.
Enlace de la fuente, haz clic para tener más información