Investigadores de ciberseguridad han lanzado una advertencia sobre el descubrimiento de una nueva herramienta de post-explotación denominada Splinter. Esta herramienta, diseñada para equipos de pruebas de penetración, podría representar una amenaza potencial si cae en manos equivocadas.
Hallazgo de la Unidad 42 de Palo Alto Networks
La Unidad 42, equipo de investigación de Palo Alto Networks, ha sido la responsable de revelar la existencia de Splinter tras detectarla en los sistemas de varios de sus clientes. Dominik Reichel, investigador de la Unidad 42, explicó que Splinter «tiene un conjunto estándar de características que se encuentran comúnmente en las herramientas de prueba de penetración y su desarrollador lo creó utilizando el lenguaje de programación Rust».
Características de Splinter
Aunque Splinter no alcanza el nivel de sofisticación de otras herramientas conocidas como Cobalt Strike, presenta algunas características notables:
- Tamaño excepcionalmente grande (alrededor de 7 MB) debido a la presencia de 61 cajas de Rust.
- Utiliza una configuración que incluye información sobre el servidor de comando y control (C2).
- Establece contacto con el servidor C2 mediante HTTPS.
- Funciona con un modelo basado en tareas, común en marcos de post-explotación.
Entre sus funciones se incluyen:
- Ejecución de comandos de Windows.
- Ejecución de módulos a través de inyección de procesos remotos.
- Carga y descarga de archivos.
- Recopilación de información de cuentas de servicios en la nube.
- Capacidad de auto-eliminación del sistema.
Implicaciones para la ciberseguridad
Aunque la Unidad 42 no ha detectado aún actividad maliciosa asociada a Splinter, su descubrimiento subraya la importancia de mantenerse actualizado en materia de prevención y detección de amenazas. Reichel advierte que «es probable que los delincuentes adopten cualquier técnica que sea efectiva para comprometer a las organizaciones».
Otras técnicas de ataque emergentes
El artículo también menciona otras técnicas de ataque recientemente descubiertas:
- Deep Instinct reveló dos métodos que podrían permitir:
- Inyección de código sigilosa.
- Escalada de privilegios aprovechando una interfaz RPC en Microsoft Office y un shim malicioso.
- Check Point informó sobre una nueva técnica de inyección de procesos llamada «Thread Name-Calling», que permite implantar un shellcode en un proceso en ejecución abusando de la API para descripciones de subprocesos.
La investigadora de seguridad Aleksandra «Hasherezade» Doniec advierte que «a medida que se agregan nuevas API a Windows, aparecen nuevas ideas para técnicas de inyección», destacando la necesidad de una vigilancia constante en el campo de la ciberseguridad.
