Cuando el usuario intenta abrir el PDF, el contenido parece ser texto cifrado. Si el objetivo solicita el descifrado, se le presenta un enlace, generalmente alojado en un sitio de almacenamiento en la nube, a una utilidad de «descifrado». La utilidad, además de mostrar un documento señuelo “descifrado”, es la puerta trasera sigilosa de SPICA.
Si bien Coldriver ha utilizado un malware antes, SPICA es el primer malware personalizado que se le atribuye. «En 2015 y 2016, TAG observó a Coldriver usando el implante Scout que se filtró durante el incidente de Hacking Team de julio de 2015».
SPICA es una puerta trasera multifacética
El análisis de TAG del binario SPICA reveló que está escrito en RUST, un lenguaje de programación de bajo nivel utilizado para construir sistemas operativos, kernels y controladores de dispositivos. El binario utiliza JavaScript Object Notation (JSON), un formato de intercambio de datos basado en texto, a través de websockets para comando y control (C2).
«Una vez ejecutado, SPICA decodifica un PDF incrustado, lo escribe en el disco y lo abre como señuelo para el usuario», añadió TAG. «En segundo plano, establece persistencia e inicia el bucle C2 principal, esperando que se ejecuten los comandos».
SPICA admite una serie de comandos para diversos ataques que incluyen comandos de shell arbitrarios, cargas y descargas, robo de cookies de Chrome, Firefox, Opera y Edge, y enumerar documentos y filtrarlos en un archivo. También hay un comando «Telegram» que TAG notó pero no pudo analizar más a fondo su funcionalidad específica.
SPICA establece la persistencia creando una tarea programada llamada CalendarChecker, usando un comando de PowerShell ofuscado. Para concienciar a los usuarios, TAG ha compartido indicadores de compromiso (IOC) que incluían hashes de documentos pdf observados, algunas instancias SPICA y el dominio C2 observado.