Una sofisticada operación de ciberespionaje llevada a cabo por un actor de amenazas conocido como BrazenBamboo. El grupo aprovechó una vulnerabilidad sin parche en el software FortiClient VPN de Fortinet para Windows para robar credenciales de usuario como parte de un ataque más amplio utilizando un marco de malware modular llamado DEEPDATA.
Una vulnerabilidad de día cero descubierta en julio de 2024 permite a un atacante extraer credenciales de VPN de la memoria del proceso FortiClient. Esta falla también afecta a la última versión de FortiClient disponible en el momento del descubrimiento (v7.4.0).
Se cree que BrazenBamboo es un actor de amenazas afiliado al estado chino y ha desarrollado múltiples familias de malware, incluidas DEEPDATA, DEEPPOST y LIGHTSPY.
BrazenBamboo APT
El marco DEEPDATA consta de un cargador (data.dll) y varios complementos diseñados para recopilar información confidencial de sistemas Windows comprometidos.
Seminario web gratuito sobre cómo los líderes de seguridad pueden optimizar su tecnología de seguridad en 2025: únase a LinkedIn
El exploit FortiClient se implementa a través de un complemento llamado 'msenvico.dll' que extrae el nombre de usuario, la contraseña, la puerta de enlace remota y el puerto de un objeto JSON en la memoria del cliente VPN.
Esta técnica recuerda a una vulnerabilidad similar descubierta en 2016, pero el exploit actual afecta a las versiones más nuevas de FortiClient.
Las capacidades de DEEPDATA se extienden más allá del robo de credenciales e incluyen la recopilación de datos de aplicaciones de mensajería, navegadores y clientes de correo electrónico populares. Este malware también puede grabar audio, capturar pulsaciones de teclas y extraer archivos del sistema infectado.
El análisis de Volexity revela que BrazenBamboo mantiene una infraestructura sofisticada para operaciones de comando y control (C2). El grupo utiliza múltiples servidores para alojar cargas útiles de malware y aplicaciones de administración, y hay evidencia que sugiere que el desarrollo de herramientas está en marcha.
Los investigadores evalúan con confianza moderada que BrazenBamboo es probablemente una empresa privada que crea capacidades para operadores gubernamentales centradas en objetivos nacionales. Esta evaluación se basa en el lenguaje utilizado en la infraestructura C2, las decisiones arquitectónicas tomadas en el desarrollo de malware y el funcionamiento continuo a pesar de la exposición.
Volexity informó la vulnerabilidad de FortiClient a Fortinet el 18 de julio de 2024 y Fortinet reconoció el problema el 24 de julio de 2024. Sin embargo, según el informe de Volexity (noviembre de 2024), este problema sigue sin resolverse y no se ha asignado ningún número CVE.
Los hallazgos de esta campaña resaltan la amenaza persistente que representan los grupos APT ricos en recursos y la importancia de aplicar parches rápidamente. Se recomienda a las organizaciones que utilizan FortiClient VPN que supervisen las actualizaciones de Fortinet e implementen medidas de seguridad adicionales para proteger las credenciales confidenciales.
A medida que el panorama de amenazas continúa evolucionando, los profesionales de la ciberseguridad están en alerta máxima ante atacantes sofisticados como BrazenBamboo, que han demostrado la capacidad de explotar vulnerabilidades de día cero en software de seguridad ampliamente utilizado.
Simplifique y acelere los flujos de trabajo de análisis de amenazas detonando automáticamente los ciberataques en un entorno limitado de malware.
