Turla, un conocido actor malicioso, ataca a sus víctimas mediante amenazas persistentes avanzadas (APT). El análisis de un ejemplo sofisticado de este malware con MetaDefender nos permite comprender en profundidad la metodología utilizada para desentrañar y comprender estas amenazas, lo cual resulta esencial para los profesionales de la ciberseguridad que desean defenderse de ellas.
Este malware es KopiLuwak, una herramienta de reconocimiento basada en JavaScript que se utiliza ampliamente para elaborar perfiles de las víctimas y para la comunicación C2. Sus técnicas de ofuscación y el diseño relativamente sencillo de su puerta trasera le permiten operar de forma discreta y eludir la detección.
Perfil del actor malicioso
Turla, un grupo de ciberespionaje con presuntos vínculos con el Servicio Federal de Seguridad de Rusia (FSB), lleva operando activamente desde al menos 2004. A lo largo de los años, Turla ha logrado infiltrarse en organizaciones de más de 50 países, afectando a diversos sectores, como el gubernamental, las embajadas, el ejército, la educación, la investigación y las empresas farmacéuticas.
El grupo muestra un modus operandi sofisticado y suele recurrir a tácticas como el uso de «watering holes» y campañas de spear phishing. A pesar de su notoriedad, la actividad de Turla se ha intensificado en los últimos años, lo que pone de manifiesto la resiliencia y la capacidad de adaptación del grupo en el panorama de las ciberamenazas, en constante evolución.
Resumen de la muestra
La muestra objeto de análisis es un documento de Microsoft Word que, tras un examen inicial de su contenido incrustado (por ejemplo, con las herramientas «oletools» de Didier Steven), contiene diversos elementos sospechosos, tales como:
Macro con las palabras clave «AutoOpen» y «AutoClose», que indican la ejecución automática de VBA.

- «mailform.js» junto con «WScript.Shell», lo que indica que hay código JavaScript (JS) incrustado y que se ejecutará.

- Un objeto incrustado que simula ser un archivo JPEG y que contiene una cadena sospechosa muy larga (código JS cifrado).


Emulación multicapa
Aunque, en este punto, un análisis manual requeriría aplicar técnicas avanzadas de descifrado y análisis de código (por ejemplo, utilizando Binary Refinery, reformateando el código para facilitar su lectura o renombrando variables para mayor claridad), podemos confiar en la tecnología avanzada de emulación en entorno aislado de MetaDefender , que realiza todos estos pasos automáticamente por nosotros.
Pasemos a la pestaña «Datos de emulación», situada en la parte izquierda del informe:

Al analizar algunos de los eventos del emulador, podemos ver claramente cómo se desarrolla toda la cadena de ataque:

Pero eso no es todo: el nuevo código JS también está muy ofuscado. Si nos fijamos en el evento Shell, se ha ejecutado con «NPEfpRZ4aqnh1YuGwQd0» como parámetro. Este parámetro es una clave RC4 que se utiliza en la siguiente iteración de la decodificación

En el siguiente paso, el archivo «mailform.js» descodifica la carga útil final de JavaScript almacenada como una cadena larga en formato Base64. Esta cadena se descodifica de Base64, a continuación se descifra utilizando RC4 con la clave (mencionada anteriormente) pasada como parámetro y, por último, se ejecuta mediante la función eval(). Cabe señalar que este código JavaScript solo se encuentra en memoria, pero MetaDefender seguirá adelante con todos los protocolos de detección restantes.


El código JS totalmente descifrado revela que el malware funciona como una puerta trasera básica, capaz de ejecutar comandos desde un servidor C2 remoto. Por último, cabe destacar que, antes de conectarse al servidor C2, crea un perfil de la víctima, se asegura la persistencia y, a continuación, extrae datos mediante solicitudes HTTP al servidor C2.



Extracción de IOC
La subpágina «Indicadores de compromiso» recopila todos los IOC extraídos en cualquier fase del análisis automatizado y muestra las URL clave de C2 debajo del origen «Emulación de VBA»:

Cada vez que detectamos el nombre de una familia de malware conocida como parte de una etiqueta antivirus o una regla YARA, o lo identificamos, por ejemplo, a través de un archivo de configuración descodificado, MetaDefender genera automáticamente la etiqueta correspondiente y la muestra en la página de inicio del informe:

Aunque no siempre se garantiza su exactitud, se trata de un indicador adelantado que ayuda a afinar la clasificación y a realizar una atribución precisa.
Conclusión
Este análisis técnico de una muestra del malware APT Turla pone de relieve la complejidad y sofisticación de las amenazas cibernéticas actuales, así como la forma en que MetaDefender permite ahorrar una enorme cantidad de tiempo al desofuscar automáticamente múltiples capas de cifrado hasta llegar a indicadores de compromiso (IOC) de gran valor. Se trata de una muestra interesante que demuestra cómo nuestro sistema de emulación es capaz de adaptarse eficazmente a la naturaleza polimórfica de las técnicas de ofuscación utilizadas en campañas reales por parte de actores maliciosos sofisticados.
Indicadores de compromiso (IOC)
Documento de MS Word
SHA-256: 2299ff9c7e5995333691f3e68373ebbb036aa619acd61cbea6c5210490699bb6
Mailform.fs
SHA-256: 4f8bc0c14dd95afeb5a14be0f392a66408d3039518543c3e1e666d973f2ba634
Servidores C2
hxxp[://]belcollegium[.]org/wp-admin/includes/class-wp-upload-plugins-list-table[.]php
hxxp[://]soligro[.]com/wp-includes/pomo/db[.]php
