Equipos infectados que se convierten en nodos de ciberataques

Ink Dragon es el grupo de ciberespionaje que está detrás de una campaña muy avanzada que ha logrado comprometer organismos gubernamentales en países de Europa, el Sudeste Asiático y América del Sur. La campaña destaca porque, una vez que ha logrado comprometer los servidores, los convierte en parte de su infraestructura de mando y control.

Así lo señala Check Point Research, que ha identificado el funcionamiento de esta campaña. Errores de configuración en servidores IIS y en SharePoint (por ejemplo, valores predecibles de machineKey en aplicaciones ASP.NET o la cadena de explotación conocida como ToolShell sobre SharePoint local) permitieron a los atacantes “ejecutar código de forma remota mediante deserialización de ViewState o vulnerabilidades de autenticación”.

Cuando han logrado el acceso, se hacen con credenciales e información local del servicio web, van incrementando los privilegios hasta controlar el sistema y establecen canales de acceso remoto. A partir de ahí, siguen moviéndose lateralmente para llegar a otros servidores en los que vuelven a utilizar las mismas cuentas de servicio. Finalmente, llegan a tener privilegios de administrador de dominio y pueden hashes NTLM o ficheros como NTDS.dit, consolidando el control sobre la infraestructura interna.

Rafael López, ingeniero de seguridad especializado en protección de correo electrónico en Check Point Research, considera que “lo preocupante de Ink Dragon no es solo la calidad de sus herramientas, sino la forma en que reutiliza cada víctima como parte de una red de mando y control distribuida. Un único servidor mal configurado puede convertirse en un punto de entrada al dominio, en un puente hacia otras organizaciones y en infraestructura permanente para futuras campañas”.