RedGolf: Exposición de Herramientas y Exploits Dirigidos a Fortinet y Empresas Japonesas
El grupo de amenazas RedGolf, vinculado a APT41, ha proporcionado involuntariamente una visión detallada de su arsenal operativo después de que un directorio en su infraestructura de ataque quedara expuesto brevemente. Este incidente reveló herramientas de explotación, scripts de reconocimiento y utilidades post-compromiso dirigidas a dispositivos Fortinet y a una importante corporación japonesa.
Exposición de la Infraestructura de RedGolf
La investigadora de seguridad Jane_0sint identificó inicialmente el servidor en la dirección IP 154.31.217.200, asociándolo con operaciones de RedGolf. Posteriormente, se descubrió que compartía un certificado TLS emitido por WolfSSL con otros cinco servidores alojados en Vultr. Uno de estos servidores (45.77.34.88) expuso accidentalmente un directorio a través de un servidor Python SimpleHTTP durante menos de 24 horas, permitiendo a los investigadores acceder a archivos operativos del grupo.
- Certificado WolfSSL: Incluía detalles como “www.wolfssl.com” como nombre común y una huella SHA-256 específica (4C1BAA3ABB774B4C649C87417ACAA4396EBA40E5028B43FADE4C685A405CC3BF).
Explotación de Vulnerabilidades Zero-Day en Dispositivos Fortinet
Entre los archivos expuestos, se encontró el script ws_test.py, diseñado para automatizar la explotación de vulnerabilidades en la interfaz WebSocket CLI de FortiOS (versiones 7.0.0 a 7.0.15), similares a CVE-2024-23108 y CVE-2024-23109. El script aprovecha endpoints WebSocket no autenticados para ejecutar comandos privilegiados mediante un payload que evita la autenticación.
Objetivos Corporativos: Shiseido
Los archivos expuestos también revelaron que RedGolf ha estado activamente dirigiendo sus ataques hacia Shiseido, una reconocida empresa japonesa de cosméticos. Un archivo llamado alive_urls_20250305_090959.txt contenía casi un centenar de dominios de Shiseido, enfocados en sistemas de autenticación, portales internos y proveedores de identidad. Además, se identificó el uso de script.py, una herramienta de fingerprinting de CDN para detectar activos desprotegidos.
Kit de Post-Explotación
El arsenal expuesto incluía herramientas avanzadas para mantener el acceso a sistemas comprometidos:
- bx.php: Un webshell en PHP que recibe comandos cifrados con AES-128 (clave:
a75d6a841eafd550) y los ejecuta sin dejar rastros en los logs. - client.ps1: Un reverse shell en PowerShell que establece comunicación cifrada con el servidor de control.
- Server (binario ELF): Interfaz de comando y control para gestionar sistemas comprometidos.
Recomendaciones de Seguridad
Este incidente subraya la necesidad crítica de que los usuarios de Fortinet actualicen sus dispositivos a las últimas versiones de firmware y monitoreen patrones de acceso sospechosos a endpoints CLI, especialmente aquellos relacionados con conexiones WebSocket. Además, se recomienda implementar soluciones de detección avanzada para identificar intentos de explotación similares.
Para más detalles, consulta la fuente original.
