Analistas creen que una puerta trasera sofisticada conocida como Dino, que se ha relacionado con el grupo de ciberespionaje Animal Farm, es obra de desarrolladores de habla francesa.

El martes, el investigador de malware de ESET, Joan Calvet, detalló los hallazgos de la compañía en un blog, señalando que se sabe muy poco acerca de las víctimas de Dino "excepto que se encontraban en Irán en 2013."

En marzo, Kaspersky Lab reveló que el grupo Animal Farm ha estado activo por lo menos desde 2009 y se ha observado explotando vulnerabilidades de día cero. Además de Dino, Animal Farm ha utilizado otras herramientas para comprometer a sus objetivos, incluyendo Bunny, OTNB, Casper y Babar.

Después de analizar más a fondo la puerta trasera Dino, Calvet de ESET escribió que la amenaza "puede ser descrita como una puerta trasera elaborada construida de forma modular."

"Entre sus innovaciones técnicas, hay un sistema de archivos personalizado para ejecutar comandos de forma sigilosa y un módulo de tareas programadas trabajando de una manera similar al comando de Unix 'cron'. Curiosamente, el binario contiene una gran cantidad de mensajes de error detallados, lo que nos permite concoer las frases elegidas por los desarrolladores de Dino. También, algunos artefactos técnicos sugieren que Dino fue escrito por hablantes nativos franceses", dijo Calvet.

El investigador enumera siete módulos contenidos en el binario Dino, incluyendo módulos de almacenamiento de configuración, carga y descarga de archivos, ejecución de comandos, y la programación de tareas. También señaló que Dino "en gran medida se basa" en una estructura de datos personalizados llamada "almacén de datos", en la que todos los módulos de Dino almacenan su contenido. Calvet añadió más tarde que el malware acepta una larga lista de comandos, incluidos los de recuperar información de reconocimiento de la máquina infectada, desinstalar Dino utilizando el sistema de archivos, buscar archivos cuyos nombres coinciden con los patrones dados, programar las transferencias de archivos al servidor de control y comando y programar el malware para "despertar" después de un cierto periodo de tiempo.

Calvet también compartió hallazgos que indican que los desarrolladores de Dino son de habla francesa: un indicador del binario Dino "contiene un recurso cuyo valor de código de idioma es 1036", lo que denota que la lengua francesa está en uso; y el hecho de que texto en francés se incluyó en el código GnuMP de Dino.

Con respecto al valor del código de lenguaje utilizado, Calvet señaló que un "desarrollador de habla no francesa podría haber creado deliberadamente este valor para aumentar los esfuerzos de atribución", pero no parece ser el caso.