Los analistas de Google Threat Analysis Group (TAG) han vinculado a la empresa española Variston IT con el desarrollo de spyware y frameworks que explotan vulnerabilidades ya parcheadas en Chrome, Firefox y Microsoft Defender.
Según el sitio web oficial, Variston IT se posiciona como un proveedor de soluciones de seguridad de la información personalizadas, incluso para integradores SCADA e IoT, parches personalizados para sistemas propietarios, herramientas de descubrimiento de datos, y también ofrece capacitación en seguridad y desarrolla protocolos de seguridad para dispositivos integrados.
Sin embargo, los expertos de TAG escriben que Variston IT vende otro producto que no se menciona en el sitio: marcos que brindan al cliente todo lo necesario para instalar malware en dispositivos de objetivos que necesitan ser monitoreados.
«Su plataforma Heliconia explota las vulnerabilidades de n-day en Chrome, Firefox y Microsoft Defender y proporciona todas las herramientas necesarias para implementar cargas útiles en los dispositivos de destino», se lee en el informe de TAG.
Según los investigadores, los marcos de la empresa constan de varios componentes, cada uno de los cuales apunta a vulnerabilidades específicas en los dispositivos de destino:
- Heliconia Noise: un marco web para explotar un error de renderizado en Chrome, luego salir del espacio aislado del navegador e instalar malware en el dispositivo de destino;
- Heliconia Soft: un marco web que implementa un PDF que contiene un exploit para una vulnerabilidad en Microsoft Defender (CVE-2021-42298);
- Heliconia Files: un conjunto de exploits para Firefox para Linux y Windows, uno de los cuales está diseñado para atacar la vulnerabilidad CVE-2022-26485.
En última instancia, Heliconia Noise y Heliconia Soft implementan el agente «agent_simple» en el sistema de destino. Sin embargo, el marco de muestra estudiado por Google contenía solo un agente ficticio que se iniciaba y salía inmediatamente sin ejecutar ningún código malicioso. Los investigadores creen que los usuarios del framework utilizan sus propios agentes, o todo esto es parte de otro proyecto al que los especialistas no tuvieron acceso.
Google TAG dice que se enteraron de Heliconia después de recibir informes anónimos a través del programa de informes de errores de Chrome. Los expertos creen que la empresa explotó los problemas mencionados incluso antes del lanzamiento de los parches, cuando los errores aún eran vulnerabilidades de día cero.