Expertos creen que el malware, llamado Okrum, proviene de un grupo que trabaja para el gobierno de China llamado Ke3chang
De acuerdo a FayerWayer, se sospecha que el grupo opera fuera de China y reporta sus descubrimientos al gobierno de Beijing. Varias de estas sospechas se fundan en ataques anteriores a diplomáticos de Europa, Centro y Sudamérica.
Añaden que el país más atacado por el grupo es Eslovaquia. Desde el 2017 Ke3chang ha atacado en Bélgica, Croacia, la República Checa, Brasil Chile y Guatemala.
Los ataques de Ke3chang usando Okrum son selectivos, con blancos muy bien identificados. Debido a su naturaleza privada y al subterfugio, es natural pensar que se trata de una operación de espionaje internacional.
Okrum tiene un método muy inteligente para activarse y desaparecer. Todavía no está muy claro de qué manera se distribuye, pero el malware tiene un sistema de seguridad que detecta si está ejecutándose en una máquina sandbox o de investigación. De ser así, se autoelimina para evitar ser detectado y analizado.
El payload del malware solo se activa luego de presionar tres veces el botón izquierdo del mouse. La razón es simple: saber que se trata de una máquina funcional, y no una trampa. Apuntan que después de instalarse, Okrum puede entregarse a sí mismo privilegios de administrador. Luego procede a recolectar información de la maquina infectada: nombre de usuario, dirección del host IP, y que versión del sistema operativo está instalada.
El malware también es capaz de bajar y subir archivos, presuntamente para robarlos de las máquinas diplomáticas. Incluso se ha probado que Okrum puede instalar Mikimatz, un conocido keylogger y ladrón de contraseñas.

Esta nota originalmente se publicó en Vanguardia

Compartir

Dejar respuesta