Seguir 
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
Un nuevo grupo de amenazas identificado, rastreado como Khmer Shadow, está llevando a cabo operaciones de espionaje contra organizaciones gubernamentales de Camboya, particularmente en los sectores de defensa y obras públicas. Los atacantes utilizan un cargador C++ personalizado llamado NIGHTFORGE para descargar una carga útil Havoc Demon directamente en la memoria. La campaña también emplea métodos avanzados de evasión, incluyendo el desenlace de NTDLL y la resolución de syscall del Hell’s Gate, para reducir la visibilidad y eludir los controles de seguridad.
Investigación
Acronis TRU descubrió dos campañas separadas que utilizaron archivos autodescomprimibles con temática de reuniones como método inicial de entrega. Los analistas examinaron el cargador NIGHTFORGE y documentaron su capacidad para resolver syscalls dinámicamente y desenlazar NTDLL para ocultar actividades maliciosas. La investigación también conectó múltiples entornos de comando y control pivotando sobre huellas digitales JARM compartidas y Certificados de Origen de Cloudflare reutilizados.
Mitigación
Las organizaciones deben implementar un fuerte monitoreo para comportamientos sospechosos de carga dinámica de DLL, especialmente cuando están involucrados binarios legítimos firmados como VMwareNamespaceCmd.exe . Los defensores también deben observar la creación no autorizada de tareas programadas y procesos descendientes inusuales, incluyendo gpupdate.exe, siendo lanzados por procesos padres inesperados. La protección de puntos finales capaz de detectar actividad directa de syscalls y cargas útiles residentes en memoria puede mejorar aún más la cobertura.
Respuesta
Si se detecta actividad de Khmer Shadow, los sistemas afectados deben ser aislados inmediatamente para interrumpir la comunicación de mando y control. Los investigadores deben realizar análisis forenses del directorio %LOCALAPPDATA% para identificar cualquier artefacto persistente relacionado con VMwareNamespace. También se deben revisar los registros de la red en busca de tráfico HTTPS saliente hacia los dominios de mando y control conocidos, y las credenciales utilizadas en los sistemas comprometidos deben ser restablecidas.
"graph TB %% Class Definitions Section classDef action fill:#99ccff classDef malware fill:#ff9999 classDef tool fill:#cccccc classDef process fill:#ccffcc classDef network fill:#ffff99 %% Node Definitions action_phishing["<b>Acción</b> – <b id='T1566.001'>T1566.001 Adjuntos de Spearphishing</b><br/><b>Descripción</b>: Envío de archivos adjuntos maliciosos por correo electrónico.<br/><b>Archivo</b>: Contact_Letter_To_Ms_Pech_ICB_Cambodia_On_Collaboration.pdf.exe"] class action_phishing action proc_sideload["<b id='T1218'>T1218 Ejecución de Proxy Binario del Sistema</b><br/><b>Descripción</b>: Usar binarios legítimos para ejecutar código malicioso.<br/><b>Binario</b>: VMwareNamespaceCmd.exe<br/><b>DLL Cargada Dynamicamente</b>: vmtools.dll"] class proc_sideload process malware_nightforge["<b id='NIGHTFORGE'>Malware</b>: Cargador NIGHTFORGE<br/><b>Acción</b> – <b id='T1140'>T1140 Desofuscación/Decodificación de Archivos o Información</b><br/><b>Descripción</b>: Uso de desencriptación XOR personalizada para decodificar shellcode.<br/><b>Acción</b> – <b id='T1027.007'>T1027.007 Resolución de API Dinámica</b><br/><b>Descripción</b>: Eludir EDR usando la resolución de syscall de Hell’s Gate."] class malware_nightforge malware action_persistence["<b id='T1137'>T1137 Inicio de Aplicación Office</b><br/><b>Descripción</b>: Uso de APIs COM para garantizar persistencia.<br/><b>Mecanismo</b>: Tarea programada registrada llamada VMwareNamespace<br/><b>Frecuencia</b>: Se repite cada 10 minutos."] class action_persistence action tool_kaynldr["<b id='KaynLdr'>Herramienta</b>: KaynLdr<br/><b>Acción</b> – <b id='T1620'>T1620 Carga de Código Reflectiva</b><br/><b>Descripción</b>: Carga reflectiva de la etapa final en memoria."] class tool_kaynldr tool malware_havoc["<b id='Havoc'>Malware</b>: Implante Havoc Demon<br/><b>Descripción</b>: Implante de última etapa ejecutándose en memoria."] class malware_havoc malware action_c2["<b id='T1102.002'>T1102.002 Servicio Web: Comunicación Bidireccional</b><br/><b>Descripción</b>: Estableciendo Mando y Control vía HTTPS POST.<br/><b>C2 URL</b>: www[.]sharingfile[.]cloud<br/><b>Evasión</b>: Imita el tráfico estándar del navegador Chrome."] class action_c2 network %% Connections Section %% Phishing leads to binary proxy execution action_phishing –>|leads_to| proc_sideload %% Proxy execution loads the NIGHTFORGE loader proc_sideload –>|executes| malware_nightforge %% NIGHTFORGE establishes persistence malware_nightforge –>|establishes| action_persistence %% NIGHTFORGE uses KaynLdr for reflective loading malware_nightforge –>|uses| tool_kaynldr %% KaynLdr injects Havoc Demon tool_kaynldr –>|injects| malware_havoc %% Havoc Demon communicates via C2 malware_havoc –>|establishes C2 via| action_c2 "
Flujo de Ataque
Detecciones
Posible Archivo Malicioso de Doble Extensión (vía process_creation)
Ver
Posible Intento de Carga Lateral de Biblioteca Dinámica Vmtools (vía image_load)
Ver
Comando y Control Sospechoso por Solicitud DNS de Dominio de Nivel Superior (TLD) Inusual (vía dns)
Ver
IOCs (HashSha256) para detectar: Detrás de Khmer Shadow: Espionaje dirigido contra entidades gubernamentales camboyanas
Ver
IOCs (SourceIP) para detectar: Detrás de Khmer Shadow: Espionaje dirigido contra entidades gubernamentales camboyanas
Ver
IOCs (DestinationIP) para detectar: Detrás de Khmer Shadow: Espionaje dirigido contra entidades gubernamentales camboyanas
Ver
Detección de Actividad de Dominio C2 de Khmer Shadow [Conexión de Red de Windows]
Ver
Ejecución de Simulación
Prerequisito: La Verificación Pre-vuelo de Telemetría y Línea Base debe haber pasado.
Racional: Esta sección detalla la ejecución precisa de la técnica del adversario (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa DEBEN reflejar directamente los TTPs identificados y apuntan a generar la telemetría exacta esperada por la lógica de detección. Ejemplos abstractos o no relacionados llevarán a un diagnóstico erróneo.
-
Narrativa del Ataque y Comandos: Un adversario ha desplegado con éxito un implante Havoc Demon en una estación de trabajo dentro de la red objetivo. Para establecer Mando y Control (C2) y evadir defensas de perímetro básicas, el implante está configurado para comunicarse con un conjunto específico de dominios identificados en inteligencia de amenazas reciente sobre la actividad de Khmer Shadow. El implante iniciará una solicitud HTTP GET a
sharingfile.cloudpara señalar su presencia y esperar más instrucciones. Esta acción está diseñada para generar una entrada en el registro proxy que contenga la cadena de dominio sospechoso. -
Script de Prueba de Regresión:
# Script de simulación para activar la regla de detección C2 de Khmer Shadow # Esto imita un registro C2 a través de una solicitud HTTP a un dominio sospechoso. $C2_Domain = "http://sharingfile.cloud/api/v1/checkin" $UserAgent = "Havoc-Demon-Implant-v1.0" Write-Host "[!] Iniciando comunicación C2 simulada a: $C2_Domain" -ForegroundColor Red try { # Usando Invoke-WebRequest para simular la actividad de la red # Se utiliza un User-Agent personalizado para imitar una firma de herramienta específica $response = Invoke-WebRequest -Uri $C2_Domain -UserAgent $UserAgent -Method Get -ErrorAction SilentlyContinue Write-Host "[+] Solicitud enviada con éxito (Nota: Se espera fallo si el dominio está hundido/fuera de línea)." -ForegroundColor Green } catch { Write-Host "[+] Solicitud intentada. Revise los registros proxy para intento de conexión al dominio sospechoso." -ForegroundColor Yellow } -
Comandos de Limpieza:
# No se realizaron cambios persistentes con esta simulación. # Limpiando el historial de comandos para eliminar trazas de la simulación. Clear-History Write-Host "[+] Limpieza completa." -ForegroundColor Green