Grazie ai ricercatori di ESET è stato possibile individuare una nuova backdoor denominata Deadglyph. Questa, adottata da un gruppo noto come Stealth Falcon (noto anche come FruityArmor) , sembra essere utilizzata nel contesto di una campagna di spionaggio informatico.
Secondo il rapporto specifico “L’architettura di Deadglyph è insolita in quanto è costituita da componenti cooperanti: uno è un binario x64 nativo, l’altro un assembly .NET“.
Gli stessi ricercatori hanno poi aggiunto come “Questa combinazione è insolita perché il malware in genere utilizza un solo linguaggio di programmazione per i suoi componenti. Questa differenza potrebbe indicare uno sviluppo separato di questi due componenti sfruttando allo stesso tempo le caratteristiche uniche dei distinti linguaggi di programmazione che utilizzano“.
La combinazione di due linguaggi potrebbe risultare utile anche per ostacolare l’analisi da parte degli specialisti, rendendo molto più difficile trovare (perlomeno in tempi brevi) adeguate contromosse per contrastare la backdoor.
Deadglyph è solo l’ultima minaccia firmata da Stealth Falcon
A differenza di altre backdoor tradizionali di questo tipo, i comandi vengono ricevuti da un server controllato dall’attore sotto forma di moduli aggiuntivi che gli consentono di creare nuovi processi, leggere file e raccogliere informazioni dai sistemi compromessi.
D’altro canto, Stealth Falcon è un gruppo individuato per la prima volta nel 2016 da Citizen Lab. Lo stesso risulta collegato a una serie di attacchi risalenti a quel periodo, che hanno visto uno spyware prendere di mira giornalisti del Medio Oriente attraverso tecniche di spear phishing.
Dal 2019, invece, il gruppo sembra essersi concentrato sullo sfruttamento di vulnerabilità zero-day di Windows come CVE-2018-8611 e CVE-2019-0797, con Mandiant che ha fatto notare, nell’aprile 2020, come Stealth Falcon “Ha utilizzato più zero-day di qualsiasi altro gruppo” dal 2016 al 2019.
Più o meno nello stesso periodo, ESET ha descritto l’utilizzo da parte del gruppo di una backdoor denominata Win32/StealthFalcon che utilizzava il servizio di trasferimento intelligente in background di Windows (BITS) per le comunicazioni di comando e controllo (C2) e per ottenere il controllo completo di un endpoint.
Deadglyph è l’ultima aggiunta all’arsenale di Stealth Falcon che, stando agli esperti, così come il primo attacco di Stealth Falcon avrebbe come principali obiettivi entità e persone nel contesto mediorientale.