Adaptación del articulo “Operation Earth Berberoka”  https://www.trendmicro.com/es_es/research/22/g/examining-new-dawdropper-banking-dropper-and-daas-on-the-dark-we.html

Una campaña APT Multiplataforma Dirigida a Sitios de Juegos de Azar en Línea

Se ha descubierto un grupo de amenazas persistentes avanzadas (APT) que se dirige principalmente a sitios de apuestas en línea. Este grupo, que hemos denominado Earth Berberoka (también conocido como GamblingPuppet), utiliza familias de malware antiguas pero actualizadas que se han atribuido a actores de habla china, incluidos PlugX y Gh0st RAT. También utiliza una nueva familia de malware de varias etapas, que hemos denominado PuppetLoader.

¿Cuál es su objetivo?

Según el análisis por parte de Trend Micro, los principales objetivos de Earth Berberoka han sido los sitios web de apuestas en China. No obstante, también hay pruebas de que el grupo se ha centrado en sitios que no son de apuestas, incluida una institución gubernamental relacionada con la educación, dos empresas de servicios de TI y una empresa de fabricación de productos electrónicos.

Desde el 12 de diciembre de 2020 hasta el 29 de abril de 2022, se registraron 15 descargas de un instalador falso de Adobe Flash Player en China, ocho redireccionamientos de ciertos sitios web al sitio web malicioso de Adobe Flash Player (cinco de un sitio web de noticias legítimo en EE.UU. y tres de un sitio web desconocido, dos de los cuales eran de Hong Kong y uno de Malasia), y una detección de DLL de PlugX en Taiwán.

Figura 1. Alcances de la telemetría Earth Berberoka desde el 12 de diciembre de 2020 hasta el 29 de abril de 2022

Conjunto de Herramientas de Malware

A partir de la investigación realizada, se descubrió que Earth Berberoka utiliza múltiples familias de malware dirigidas a plataformas como Windows, Linux y macOS. Se encontró la mayoría de estas familias por medio de la infraestructura de Back-End compartida, especificamente mediante el pivoteo de dominios y muestras de malware.

Vectores de Infección

Earth Berberoka ha utilizado diferentes vectores de infección en la entrega de algunos de los de malware que ha empleado en su campaña. Estos incluyen una aplicación de chat supuestamente segura llamada MiMi, una aplicación de intercambio de criptomonedas falsa y un sitio web para un instalador malicioso de Adobe Flash Player.

Conclusión

Esta investigación muestra que el grupo de actores de la amenaza que está detrás de esta operación tiene mucho personal, debido a la gran infraestructura y a las diversas herramientas que ha desarrollado y utilizado. Basándose en la telemetría y en otros indicios, TrendMicro ha podido evaluar que el grupo se dirige principalmente al sector de los juegos de azar dirigido a Asia, más concretamente a los usuarios y operadores de sitios web de juegos de azar de habla china. Earth Berberoka utiliza una gran cantidad de herramientas. Algunas de ellas son familias de malware que existen desde hace más de 10 años y que el grupo ha mejorado, mientras que otras son familias de malware que aparentemente ha creado específicamente para esta campaña. También es interesante ver el uso por parte de Earth Berberoka de marcos y lenguajes portátiles como Electron JS y Golang para dirigirse a múltiples plataformas. También se descubrió que algunas familias de malware para Linux que se creían utilizadas para la ciberdelincuencia también podían utilizarse para el espionaje. Earth Berberoka no dudó en utilizar familias de malware de código abierto como la RAT Pupy y el rootkit Reptile para este fin. Por último, esta investigación muestra la dificultad de atribuir una infraestructura de este tipo cuando los actores de la amenaza que están detrás utilizan herramientas que son compartidas por múltiples grupos.