La campaña de ciberespionaje revela que el grupo alineado con China no solo sigue activo, sino que ha sofisticado significativamente su arsenal
Después de dos años sin actividad pública documentada, el grupo de ciberespionaje FamousSparrow ha reaparecido con una campaña dirigida contra entidades estratégicas en Estados Unidos y México. Así lo ha revelado ESET Research, que detectó en julio de 2024 la presencia de dos variantes inéditas del backdoor SparrowDoor, la herramienta insignia de este actor alineado con intereses del gobierno chino.
El hallazgo tuvo lugar mientras ESET asistía a una organización del sector financiero en Estados Unidos, comprometida por herramientas atribuidas con alta confianza a FamousSparrow. Poco antes, una institución de investigación en México también había sido atacada, lo que indica una campaña coordinada y de alcance regional.
Las dos nuevas versiones de SparrowDoor representan un importante salto cualitativo. Una de ellas, modular, ha sido desarrollada con un diseño significativamente distinto a las anteriores y parece tener la capacidad de cargar funcionalidades adicionales como plugins, lo que permite extender su capacidad sin modificar el archivo principal. La otra comparte similitudes con CrowDoor, una variante documentada por Trend Micro y vinculada al grupo Earth Estries, lo que sugiere posibles solapamientos entre ambos grupos o un ecosistema de herramientas compartidas.
Además, por primera vez, FamousSparrow ha sido visto utilizando ShadowPad, un sofisticado backdoor comercializado exclusivamente entre grupos de amenazas asociados con China. ShadowPad fue detectado en la red comprometida y cargado mediante técnicas de side-loading usando software legítimo de Microsoft Office y VLC Media Player, lo que dificultó su detección.
Una infraestructura compleja y técnicas avanzadas
Los investigadores de ESET detallan una cadena de compromiso altamente elaborada, que incluye la explotación de servidores Microsoft Exchange desactualizados para desplegar un webshell, el uso del marco post-explotación PowerHub, y técnicas de escalada de privilegios como BadPotato. Desde ahí, los atacantes descargaron y ejecutaron SparrowDoor mediante una secuencia de cargas en tridente (trident loading) y cifrado RC4.
Entre las capacidades de las nuevas versiones se incluyen operaciones en paralelo, sesiones remotas interactivas, manipulación de archivos, creación de proxies TCP y exfiltración de datos, todo ello gestionado a través de una comunicación cifrada con los servidores C&C.
La versión modular detectada implementa una arquitectura basada en plugins, algunos de los cuales ya habían sido observados en muestras previas del malware HemiGate. Entre las funciones previstas se encuentran el keylogging, transferencia de archivos, monitorización de procesos y capturas de pantalla.
Posibles vínculos con Salt Typhoon y Earth Estries
Microsoft Threat Intelligence vinculó previamente a FamousSparrow con los grupos Salt Typhoon y GhostEmperor, aunque ESET rechaza esta agrupación de actores y defiende que FamousSparrow constituye un clúster distinto, pese a ciertos solapamientos en infraestructura y herramientas. La hipótesis más plausible, según los expertos, es la existencia de un tercero compartido, como un “cuartel digital” proveedor de recursos comunes para múltiples grupos.
Trend Micro, por su parte, ha ampliado la lista de posibles conexiones, añadiendo a Earth Estries, un grupo con técnicas, tácticas y herramientas similares. ESET, sin embargo, mantiene la atribución directa de estas operaciones a FamousSparrow basándose en coincidencias únicas en SparrowDoor y otros elementos exclusivos del grupo.
La amenaza persiste
Con este descubrimiento, ESET confirma que FamousSparrow ha seguido operando de forma sigilosa y ha invertido en la evolución de su arsenal. Se han identificado infraestructuras de comando y control activas hasta julio de 2024, incluyendo servidores vinculados a dominios como amelicen[.]com, y certificados TLS auto-firmados que imitan a empresas como Dell.
Además de EE. UU. y México, se ha encontrado evidencia de que el grupo también habría atacado una institución gubernamental en Honduras, lo que subraya su enfoque regional en Latinoamérica y Norteamérica.
ESET continúa monitorizando las actividades del grupo y advirtiendo sobre los riesgos que representa para organizaciones gubernamentales, financieras, académicas y de infraestructura crítica.
Fuente: We Live Security
