Una nueva y personalizada puerta trasera ha sido utilizada en ataques altamente selectivos contra las organizaciones de Taiwán, Japón, Corea del Sur y los Estados Unidos durante el año pasado.

Investigadores de malware de Symantec descubrieron el programa por primera vez, al que han llamado Dripion, en agosto de 2015. Sin embargo, debido a su naturaleza personalizada y a su uso escaso, este ha logrado pasar desapercibido desde noviembre de 2013.

Cuando comenzó su análisis, los investigadores de Symantec creyeron que Dripion era una amenaza local contra las organizaciones en Taiwán, donde se encuentran la mayoría de sus víctimas. Sin embargo, desde entonces, también se han encontrado equipos infectados con la puerta trasera en otros países.

Los creadores del programa hicieron grandes esfuerzos para ocultar la actividad del malware. Este se instala en los equipos mediante otro programa malicioso conocido como Blugger, que utiliza cifrado para ocultar sus comunicaciones.

Blugger descarga la puerta trasera Dripion de lo que parecen ser blogs en idioma inglés. No está claro si estos son blogs legítimos que han sido comprometidos o si los atacantes crearon intencionalmente los sitios.

Una vez instalado en un equipo, Dripion se conecta a dominios de comando y control con nombres similares a los de varias compañías antivirus en un intento de ocultar aún más el tráfico malicioso en los registros de red de las víctimas. Dripion permite a los atacantes robar información y archivos de las computadoras infectadas, así como subir nuevos archivos y ejecutarlos.

Symantec también ha encontrado vínculos entre Dripion y un grupo de ciberespionaje conocido como Budminer que, hasta el año 2014, ha utilizado un programa de puerta trasera diferente llamado Taidoor. Budminer es conocido por lanzar ataques dirigidos desde 2009 contra laboratorios de ideas, fabricantes y contratistas de defensa con intereses en Taiwán.

Es posible que Dripion sea la nueva herramienta de software malicioso de Budminer, creada después de que Taidoor fuera expuesto y documentado por investigadores de seguridad. No hay similitudes de código entre los dos programas, lo que sugiere que Dripion fue desarrollado desde de cero.

El caso de Dripion muestra que las puertas traseras desarrolladas de forma personalizada utilizadas en un pequeño número de ataques altamente selectivos pueden pasar por alto fácilmente las defensas tradicionales antimalware y permanecer sin detectarse durante mucho tiempo. La defensa contra ellas requiere un enfoque de seguridad multicapa.