Investigadores de ciberseguridad han descubierto un nuevo malware basado en Lua creado años antes que el notorio gusano Stuxnet que tenía como objetivo sabotear el programa nuclear de Irán destruyendo centrifugadoras de enriquecimiento de uranio.
Según un nuevo informe publicado por SentinelOne, el marco de cibersabotaje no documentado anteriormente se remonta a 2005 y apunta principalmente a software de cálculo de alta precisión para alterar los resultados. ha sido nombrado en clave rápido16.
«Al combinar esta carga útil con mecanismos de autopropagación, los atacantes pretenden producir cálculos inexactos equivalentes en toda una instalación», investigadores Vitaly Kamluk y Juan Andrés Guerrero-Saade dicho en un informe exhaustivo publicado esta semana.
Se considera que Fast16 es anterior Stuxnetla primera arma digital conocida diseñada para acciones disruptivasy cual sirvió de base para el duqu rootkit ladrón de información, por al menos cinco años. Se cree ampliamente que Stuxnet fue desarrollado por Estados Unidos e Israel.
También precede a las primeras muestras conocidas de Llama (también conocido como Flamer y Skywiper), otro malware sofisticado descubierto en 2012, que incorpora una máquina virtual Lua para lograr sus objetivos. El descubrimiento convierte a fast16 en la primera cepa de malware de Windows que incorpora un motor Lua.
SentinelOne dijo que hizo el descubrimiento después de identificar un artefacto llamado «svcmgmt.exe» que, a primera vista, parecía ser un contenedor de servicio genérico en modo consola. La muestra tiene una marca de tiempo de creación de archivo del 30 de agosto de 2005, según VirusTotal, en la que se cargó más de una década después, el 8 de octubre de 2016.
Sin embargo, una investigación más profunda ha revelado una máquina virtual Lua 5.0 integrada y un contenedor de código de bytes cifrado, junto con varios otros módulos que se vinculan directamente al sistema de archivos, registro, control de servicios y API de red de Windows NT.
La lógica central del implante reside en el código de bytes Lua, y el binario también hace referencia a un controlador del kernel («fast16.sys«) a través de una ruta PDB (un archivo con fecha de creación del 19 de julio de 2005) que es responsable de interceptar y modificar el código ejecutable a medida que se lee desde el disco. Dicho esto, vale la pena señalar que el controlador no se ejecutará en sistemas con Windows 7 o posterior.
En lo que es un hallazgo que podría dar una indicación de los orígenes de la herramienta, SentinelOne dijo que descubrió una referencia a la cadena «fast16» en un archivo de texto llamado «drv_list.txt» que incluía una lista de controladores diseñados para su uso en ataques de amenazas persistentes avanzadas (APT). El archivo de casi 250 KB fue filtrado por un misterioso grupo de piratas informáticos hace nueve años.
En 2016 y 2017, el colectivo –llamándose a sí mismo Los corredores de la sombra – publicó grandes cantidades de datos supuestamente robados del Grupo de ecuacionesun grupo de amenaza persistente avanzado con presuntos vínculos con la Agencia de Seguridad Nacional de EE. UU. (NSA). Esto incluía un conjunto de herramientas de piratería y exploits bajo el sobrenombre de «Lost in Translation». El archivo de texto fue uno de ellos.
«La cadena dentro de svcmgmt.exe proporcionó el vínculo forense clave en esta investigación», dijo SentinelOne. «La ruta PDB conecta la filtración de 2017 de firmas de desconflicto utilizadas por los operadores de la NSA con un módulo 'portador' multimodal impulsado por Lua compilado en 2005 y, en última instancia, su carga útil sigilosa: un controlador de kernel diseñado para sabotaje de precisión».
«Svcmgmt.exe» ha sido descrito como un «módulo portador altamente adaptable» que puede alterar su comportamiento en función de los argumentos de la línea de comandos que se le pasan, permitiéndole ejecutarse como un servicio de Windows o ejecutar código Lua. Viene con tres cargas útiles distintas: código de bytes Lua para manejar la configuración y la lógica de propagación y coordinación, un ConnotifyDLL auxiliar («svcmgmt.dll«) y el controlador del núcleo «fast16.sys».
Específicamente, está diseñado para analizar la configuración, escalarse como un servicio, implementar opcionalmente el implante del kernel e iniciar un Administrador de control de servicios (SCM) wormlet que busca servidores de red y propaga el malware a otros entornos Windows 2000/XP con credenciales débiles o predeterminadas.
Un aspecto importante que vale la pena mencionar aquí es que la propagación solo ocurre cuando se fuerza manualmente o no se encuentran productos de seguridad comunes en el sistema al escanear la base de datos del Registro de Windows en busca de claves de registro asociadas. Algunas de las herramientas de seguridad que verifica explícitamente pertenecen a Agnitum, F-Secure, Kaspersky, McAfee, Microsoft, Symantec, Sygate Technologies y Trend Micro.
La presencia de Sygate Technologies es otro indicador de que la muestra se desarrolló a mediados de la década de 2000, cuando la empresa fue adquirida por Symantec, ahora parte de Broadcom, en agosto de 2025, y las ventas y el soporte para sus productos se suspendieron formalmente en noviembre.
«Para herramientas de esta época, ese nivel de conciencia ambiental es notable», dijo SentinelOne. «Si bien la lista de productos puede no parecer completa, probablemente refleja los productos que los operadores esperaban que estuvieran presentes en sus redes objetivo cuya tecnología de detección amenazaría el sigilo de una operación encubierta».
ConnotifyDLL, por otro lado, se invoca cada vez que el sistema establece una nueva conexión de red utilizando el Servicio de acceso remoto (RAS) y escribe los nombres de las conexiones locales y remotas en un tubería con nombre («\\.\pipe\p577»).
Sin embargo, es el controlador el responsable del sabotaje de precisión, dirigido a ejecutables compilados con el compilador Intel C/C++ para realizar parches basados en reglas y secuestrar el flujo de ejecución mediante inyecciones de código malicioso. Uno de esos bloques es capaz de corromper los cálculos matemáticos, específicamente atacando herramientas utilizadas en ingeniería civil, física y simulaciones de procesos físicos.
«Al introducir errores pequeños pero sistemáticos en los cálculos del mundo físico, el marco podría socavar o ralentizar los programas de investigación científica, degradar los sistemas diseñados con el tiempo o incluso contribuir a daños catastróficos», explicó SentinelOne.
«Al separar un contenedor de ejecución relativamente estable de cargas útiles cifradas y específicas de tareas, los desarrolladores crearon un marco reutilizable y compartimentado que podían adaptar a diferentes entornos objetivo y objetivos operativos, dejando el binario del operador externo prácticamente sin cambios en todas las campañas».
Basado en un análisis de las 101 reglas definidas en el motor de parches y comparándolas con el software utilizado a mediados de la década de 2000, se evalúa que tres conjuntos de ingeniería y simulación de alta precisión pueden haber sido los objetivos: LS-DYNA 970, PKPM y la plataforma de modelado hidrodinámico MOHID.
LS-DYNAque ahora forma parte de Ansys Suite, es un paquete de software de simulación de física múltiple de uso general que se utiliza para simular choques, impactos y explosiones. En septiembre de 2024, el Instituto para la Ciencia y la Seguridad Internacional (ISIS) liberado un informe que detalla el probable uso por parte de Irán de software de modelado informático como LS-DYNA relacionado con el desarrollo de armas nucleares basado en un examen de 157 publicaciones académicas encontradas en literatura científica y de ingeniería de código abierto.
Esta cadena de pruebas adquiere importancia teniendo en cuenta que se dice que el programa nuclear de Irán ha sufrido daño sustancial después de que su instalación de enriquecimiento de uranio en Natanz fuera atacada por el gusano stuxnet en junio de 2010. Es más, Symantec reveló en febrero de 2013 una versión anterior de Student que se utilizó para atacar el programa nuclear de Irán en noviembre de 2007, con evidencia que indicaba que ya estaba en desarrollo en noviembre de 2005.
«Stuxnet 0.5 es la versión de Stuxnet más antigua conocida que se analizará», Symantec anotado En el momento. «Stuxnet 0.5 contiene una estrategia de ataque alternativa, cerrando válvulas dentro de la instalación de enriquecimiento de uranio en Natanz, Irán, lo que habría causado graves daños a las centrifugadoras y al sistema de enriquecimiento de uranio en su conjunto».
En conjunto, el último hallazgo «obliga a una reevaluación» del cronograma histórico de desarrollo de las operaciones clandestinas de sabotaje cibernético, dijo SentinelOne, añadiendo que muestra que las herramientas de sabotaje cibernético respaldadas por el Estado contra objetivos físicos se habían desarrollado y desplegado por completo a mediados de la década de 2000.
«En el panorama más amplio de la evolución de APT, fast16 cierra la brecha entre los primeros programas de desarrollo, en gran medida invisibles, y los conjuntos de herramientas posteriores, más ampliamente documentados, basados en Lua y LuaJIT», concluyeron los investigadores. «Es un punto de referencia para comprender cómo piensan los actores avanzados sobre los implantes a largo plazo, el sabotaje y la capacidad de un estado para remodelar el mundo físico a través del software. fast16 fue el presagio silencioso de una nueva forma de arte de gobernar, exitosa en su encubrimiento hasta hoy».
