Los analistas de Kaspersky Lab han seguido la actividad de Winnti Group y han descubierto una nueva amenaza basada en un bootkit de 2006. La amenaza, bautizada por Kaspersky Lab como “HDRoot” (nombre de la herramienta original: “HDD Rootkit”), es una plataforma universal utilizada como punto de apoyo para el desarrollo de otras herramientas arbitrarias.
La organización cibercriminal Winnti es conocida por campañas de ciberespionaje industrial dirigidas a empresas de software, especialmente las de la industria del gaming. Aunque últimamente también se han observado ataques dirigidos a empresas farmacéuticas.
“HDRoot” fue descubierto cuando una muestra de malware despertó el interés del equipo de analistas del GREaT de Kaspersky Lab:
• Estaba protegida con un ejecutable VMProtect Win64 firmado con un conocido certificado comprometido que pertenece a la entidad china, Guangzhou YuanLuo Technology, un certificado que el grupo Winnti ya había usado para firmar otras herramientas.
• Las propiedades y salida de texto del ejecutable se copiaron para que se viera como el comando net.exe de Microsoft, con el fin de reducir el riesgo de ser descubierto por los administradores de sistemas
Esto hizo que los analistas sospecharan de la muestra. Un análisis posterior mostró que el bootkit HDRoot es una plataforma universal que puede utilizarse para activar y desplegar cualquier otra herramienta.
Los analistas pudieron identificar dos tipos de backdoors operativos con la ayuda de esta plataforma y se cree que pueden existir más. Uno de estos backdoors fue capaz de pasar por alto los productos antivirus en Corea del Sur – AhnLab’s V3 Lite, AhnLab’s V3 365 Clinic and ESTsoft’s ALYac. Por lo tanto, Winnti lo utilizó para lanzar malware en los equipos en Corea del Sur.
