Un sofisticado grupo de ciberespionaje conocido como Earth Preta (también llamado Mustang Panda) ha sido identificado utilizando técnicas avanzadas para infiltrarse en sistemas y evadir la detección. Su enfoque sigiloso implica el uso de utilidades legítimas de Windows para ejecutar cargas maliciosas, lo que dificulta que las soluciones de detección y respuesta de endpoints (EDR), como CrowdStrike, Carbon Black y Sophos, así como Microsoft Defender, detecten su presencia.
Este investigación proporciona un análisis técnico detallado de cómo Earth Preta se infiltra en máquinas, escala privilegios, mantiene persistencia y roba datos sensibles mientras evita las defensas de ciberseguridad. Earth Preta, también conocido como Mustang Panda, es un grupo de amenaza persistente avanzada (APT) reconocido por sus actividades de ciberespionaje, dirigidas principalmente a entidades gubernamentales y organizaciones en la región de Asia-Pacífico (APAC). Sus operaciones han evolucionado con el tiempo, empleando técnicas avanzadas para infiltrarse en sistemas, evadir la detección y mantener acceso prolongado a redes comprometidas.
Evolución de sus Técnicas
Earth Preta ha evolucionado constantemente sus tácticas para mejorar su capacidad de infiltración y persistencia en redes comprometidas.
Desde 2022, el grupo ha utilizado correos electrónicos de spear-phishing como su principal vector de ataque. Estos correos incluían enlaces a archivos maliciosos alojados en plataformas como Google Drive, generalmente comprimidos en formatos RAR, ZIP o JAR. Al ejecutarse, estos archivos desplegaban malware como TONEINS, TONESHELL y PUBLOAD, permitiendo a los atacantes establecer un punto de acceso dentro del sistema.
En campañas posteriores, el grupo amplió su arsenal con nuevos métodos de propagación, como el uso de un gusano malicioso llamado HIUPAN para diseminar sus cargas a través de dispositivos de almacenamiento extraíbles (USBs). Este método permitía al malware esparcirse incluso en redes restringidas con controles estrictos de seguridad en el correo electrónico.
El gusano HIUPAN tenía varias características avanzadas:
- Instalación persistente en el sistema infectado.
- Creación de entradas en el registro de Windows para ejecutarse automáticamente.
- Modificación de configuraciones del sistema para ocultar su presencia y dificultar su detección.
Perfil de sus Objetivos y Motivación
Earth Preta ha demostrado una gran flexibilidad en la selección de sus objetivos, manteniendo un enfoque diversificado:
- Entidades gubernamentales
- Instituciones académicas y de investigación
- Organizaciones no gubernamentales (ONGs) y fundaciones
Aunque sus operaciones tienen un alcance global, han mostrado un interés particular en la región de Asia-Pacífico (APAC). Su principal objetivo es la adquisición de información sensible, propiedad intelectual y datos estratégicos que podrían ser utilizados para fines geopolíticos.
En campañas de 2022, Earth Preta atacó a organismos gubernamentales relacionados con relaciones internacionales para obtener inteligencia sobre desarrollos geopolíticos. En campañas más recientes, el grupo ha ampliado su enfoque a sectores como operaciones marítimas, transporte, control fronterizo e inmigración. Este cambio sugiere un realineamiento estratégico basado en eventos globales y necesidades emergentes de inteligencia.
Paso 1: Compromiso Inicial – Phishing Dirigido con Adjuntos Maliciosos
Uno de los principales vectores de ataque de Earth Preta es el phishing dirigido. Los atacantes envían correos electrónicos con un adjunto infectado, generalmente en formato RAR, ZIP o JAR. Estos archivos comprimidos contienen un ejecutable que se disfraza de PDF (por ejemplo, Reporte.pdf.exe), engañando a los usuarios para que lo abran.
¿Por qué EDR o Defender podrían no detectar esto?
- Malware polimórfico: La carga maliciosa cambia constantemente para evadir la detección basada en firmas.
- Truco con extensiones de archivo: Muchas herramientas de seguridad dependen de las extensiones para clasificar archivos como maliciosos, y las extensiones dobles a menudo las eluden.
- No se necesita exploit: El ataque se basa en ingeniería social en lugar de vulnerabilidades de software, lo que lo hace más difícil de detectar.
Paso 2: Estableciendo Persistencia – Ocultándose en Procesos del Sistema
Una vez ejecutado, el malware garantiza su supervivencia tras reinicios y escaneos de seguridad al ocultarse en procesos legítimos de Windows.
Ejemplo: Uso de MAVInject.exe para Inyección de Código
- MAVInject.exe es una utilidad legítima de Windows que permite inyectar código en procesos en ejecución.
- Earth Preta inyecta su malware en
waitfor.exe, un proceso nativo de Windows, permitiendo que el malware se ejecute de manera discreta.
¿Por qué EDR o Defender podrían no detectar esto?
- La inyección en procesos evita la detección de ejecución directa.
- MAVInject.exe es una herramienta firmada por Microsoft, por lo que es de confianza.
- No hay actividad sospechosa en los registros, ya que
waitfor.exeparece funcionar normalmente.
Paso 3: Escalada de Privilegios – Evadiendo el Control de Cuentas de Usuario (UAC)
Para obtener privilegios de administrador, Earth Preta explota las características de auto-elevación de Windows para eludir UAC.
Ejemplo: Explotando Fodhelper.exe
- El malware modifica el registro para hacer que
fodhelper.exeejecute su carga con privilegios elevados. - El atacante ejecuta:
REG ADD HKCU\Software\Classes\ms-settings\shell\open\command /ve /t REG_SZ /d "C:\malicious_payload.exe" /f fodhelper.exeWindows ejecuta la carga con permisos de administrador.
¿Por qué EDR o Defender podrían no detectar esto?
- Fodhelper.exe es un binario confiable de Windows.
- No hay exploit directo, solo modificaciones en el registro.
- La ejecución del proceso parece normal.
Paso 4: Instalación de un Backdoor – Implementación de TONESHELL
Después de obtener privilegios elevados, el atacante instala TONESHELL, un backdoor que proporciona acceso remoto persistente al sistema comprometido.
Ejemplo: Carga de DLL Maliciosa mediante una Aplicación de Confianza
- Earth Preta coloca un DLL malicioso (
TONESHELL.dll) dentro de la carpeta de un software confiable, como un actualizador de Electronic Arts. - Cuando el legítimo
Updater.exese ejecuta, automáticamente carga el DLL malicioso, activando el backdoor.
¿Por qué EDR o Defender podrían no detectar esto?
- Los EDR principalmente escanean ejecutables, no DLLs.
- El software legítimo inicia el ataque, evitando alertas.
- TONESHELL se comunica con servidores de comando y control (C&C) usando tráfico cifrado.
Paso 5: Obtención de Control Remoto – Ejecución de Comandos vía Servidor C&C
Una vez dentro, el atacante controla la máquina infectada de forma remota.
Ejemplo: Envío de Comandos desde un Servidor C&C
- El sistema comprometido se conecta a:
hxxp://servidor-malicioso.com/control - El atacante obtiene detalles del sistema:
tasklist /v - Ejecutan transferencias de archivos:
copy C:\Users\victima\Documentos\secreto.docx C:\Temp\ - Para ejecutar más malware:
start C:\Temp\stealer.exe
¿Por qué EDR o Defender podrían no detectar esto?
- Las comunicaciones C&C cifradas evitan detecciones en firewalls.
- Los comandos parecen actividades normales del sistema.
- Los atacantes usan dominios comprometidos para evitar listas negras.
Conclusión: Cómo Earth Preta Permanece Indetectable
| Paso | Técnica de Evasión | ¿Por qué EDR/Defender lo omiten? |
|---|---|---|
| 1. Phishing | PDFs falsos con doble extensión | No hay exploit, solo ejecución |
| 2. Persistencia | Inyección en waitfor.exe | Se oculta en un proceso confiable |
| 3. Escalada de privilegios | Bypass UAC (fodhelper.exe) | Cambios de registro, no exploits |
| 4. Backdoor | Carga lateral de DLL | No hay ejecutables sospechosos |
| 5. Control remoto | Uso de procesos confiables | tasklist, copy parecen legítimos |
Cómo Defenderse Contra Earth Preta
✅ Monitorear inyecciones en procesos ✅ Detectar cargas inusuales de DLL ✅ Inspeccionar tráfico DNS para anomalías ✅ Restringir PowerShell y MAVInject.exe ✅ Capacitar a empleados contra ataques de phishing
Earth Preta es un grupo APT sigiloso, pero las organizaciones pueden defenderse mediante monitoreo avanzado del comportamiento y controles de seguridad en la red.
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
