Nuevas variantes de SparrowDoor en ataques a EE.UU. y México

El grupo de hackers chino conocido como FamousSparrow ha sido vinculado a ciberataques dirigidos contra un grupo comercial en EE.UU. y un instituto de investigación en México, con el objetivo de instalar SparrowDoor y ShadowPad.

Esta actividad, detectada en julio de 2024, representa la primera vez que este grupo utiliza ShadowPad, un malware sofisticado compartido entre varios grupos respaldados por el Estado chino.

Según un informe de ESET compartido con The Hacker News, FamousSparrow utilizó por primera vez dos versiones no documentadas de su backdoor SparrowDoor, incluyendo una variante modular. Ambas muestran avances significativos respecto a versiones anteriores, especialmente por su capacidad de ejecutar comandos en paralelo.

ESET identificó por primera vez a este grupo en septiembre de 2021, tras una serie de ataques contra hoteles, gobiernos, firmas de ingeniería y despachos legales, usando siempre SparrowDoor, un malware exclusivo de este actor.

En el ataque, los hackers habrían instalado un web shell en un servidor IIS, aunque aún no se sabe exactamente cómo lo hicieron. Lo que sí se sabe es que ambas víctimas usaban versiones antiguas de Windows Server y Microsoft Exchange, lo que pudo facilitar la intrusión.

Según ESET, esta nueva actividad muestra que el grupo FamousSparrow sigue activo y ha estado desarrollando nuevas versiones de su herramienta maliciosa.

No olvides suscribirte a nuestro canal de YouTube y seguirnos a través de nuestras redes sociales (Facebook, Twitter, LinkedIn e Instagram) para estar informado con las noticias más relevantes de tecnología y ciberseguridad. Adicionalmente, conocerás más detalles sobre todos los productos y/o servicios de ciberseguridad que ofrece Quanti para ti.

Recuerda que en Quanti, simplificamos la tecnología para TI.