Investigadores de ciberseguridad han descubierto un marco de sabotaje cibernético no documentado previamente escrito en Lua, que existió años antes que **Stuxnet**, el notorio gusano que apuntó al programa nuclear de Irán. El malware, con nombre en clave **fast16**, tenía como objetivo interrumpir operaciones manipulando los resultados de software de cálculo de alta precisión. Según un nuevo informe de **SentinelOne**, este marco data de 2005. "Al combinar este payload con mecanismos de auto-propagación, los atacantes buscan producir cálculos inexactos equivalentes en toda una instalación", dijeron los investigadores Vitaly Kamluk y Juan Andrés Guerrero-Saade en su informe.  ### Orígenes y Capacidades Fast16 precede a Stuxnet por al menos cinco años y también antecede a las muestras más antiguas conocidas de **Flame** (también conocido como Flamer y Skywiper). Este descubrimiento marca a fast16 como el primer malware para Windows conocido en incrustar un motor Lua. El descubrimiento de SentinelOne provino de un artefacto llamado "svcmgmt.exe", que inicialmente parecía ser un envoltorio genérico de servicio en modo consola. VirusTotal indica que el archivo tiene una marca de tiempo de creación del 30 de agosto de 2005 y fue subido más de una década después, el 8 de octubre de 2016. Un análisis posterior reveló una máquina virtual Lua 5.0 incrustada, un contenedor de bytecode cifrado y módulos que interactúan directamente con el sistema de archivos de Windows NT, el registro, el control de servicios y las API de red. La lógica central del implante reside dentro del bytecode Lua. El binario también hace referencia a un controlador de kernel ("fast16.sys") a través de una ruta PDB, con fecha del 19 de julio de 2005, que intercepta y modifica el código ejecutable a medida que se lee del disco. El controlador es incompatible con Windows 7 y sistemas posteriores. ### Conexión con The Shadow Brokers SentinelOne descubrió una referencia a "fast16" en un archivo de texto llamado "drv_list.txt", que enumeraba los controladores utilizados en ataques de amenaza persistente avanzada (APT). Este archivo formaba parte de un alijo de datos filtrado por **The Shadow Brokers** en 2016 y 2017, presuntamente robado del **Equation Group**, un grupo APT con presuntos vínculos con la **Agencia de Seguridad Nacional (NSA)** de EE. UU. El archivo de texto se puede encontrar en GitHub.  "La cadena dentro de svcmgmt.exe proporcionó el enlace forense clave en esta investigación", afirmó SentinelOne. "La ruta PDB conecta la filtración de 2017 de firmas de desconflicto utilizadas por operadores de la NSA con un módulo 'portador' multimodal impulsado por Lua compilado en 2005, y finalmente su payload sigiloso: un controlador de kernel diseñado para sabotaje de precisión". ### Detalles Técnicos de Fast16 "Svcmgmt.exe" sirve como un módulo portador adaptable, modificando su comportamiento según los argumentos de la línea de comandos. Puede operar como un servicio de Windows o ejecutar código Lua. El módulo incluye tres payloads: bytecode Lua para configuración, propagación y coordinación; una DLL auxiliar de ConnotifyDLL ("svcmgmt.dll"); y el controlador de kernel "fast16.sys". El módulo analiza la configuración, escala privilegios, despliega el implante de kernel y lanza un gusano de Service Control Manager (**SCM**). Este gusano escanea servidores de red y propaga el malware a entornos Windows 2000/XP con credenciales débiles. La propagación ocurre solo cuando se inicia manualmente o cuando faltan productos de seguridad comunes. Fast16 verifica herramientas de seguridad de proveedores como Agnitum, **F-Secure**, **Kaspersky**, **McAfee**, **Microsoft**, **Symantec**, Sygate Technologies y **Trend Micro** escaneando el Registro de Windows. La presencia de Sygate Technologies, adquirida por Symantec (ahora parte de **Broadcom**) en agosto de 2005, indica aún más la antigüedad de la muestra. "Para herramientas de esta antigüedad, ese nivel de conciencia ambiental es notable", señaló SentinelOne. "Si bien la lista de productos puede no parecer exhaustiva, probablemente refleje los productos que los operadores esperaban encontrar en sus redes objetivo, cuya tecnología de detección amenazaría el sigilo de una operación encubierta". La ConnotifyDLL se invoca al establecer nuevas conexiones de red utilizando el Servicio de Acceso Remoto (**RAS**), escribiendo los nombres de las conexiones remotas y locales en una tubería con nombre ("\\.\pipe\p577"). ### Sabotaje de Precisión a Través de Controlador de Kernel El controlador de kernel es responsable del sabotaje de precisión. Se dirige a ejecutables compilados con el compilador Intel C/C++, realizando parches basados en reglas e inyectando código malicioso. Esto incluye corromper cálculos matemáticos en herramientas utilizadas en ingeniería civil, física y simulaciones de procesos físicos. "Al introducir errores pequeños pero sistemáticos en los cálculos del mundo físico, el marco podría socavar o ralentizar programas de investigación científica, degradar sistemas diseñados con el tiempo, o incluso contribuir a daños catastróficos", explicó SentinelOne. "Al separar un envoltorio de ejecución relativamente estable de payloads cifrados y específicos de tareas, los desarrolladores crearon un marco reutilizable y compartimentado que podían adaptar a diferentes entornos objetivo y objetivos operativos, dejando el binario portador externo en gran medida sin cambios entre campañas". El análisis sugiere que tres suites de ingeniería y simulación de alta precisión podrían haber sido el objetivo: LS-DYNA 970, PKPM y la plataforma de modelado hidrodinámico MOHID. **LS-DYNA**, ahora parte de **Ansys** Suite, es un software de simulación multifísica utilizado para simular choques, impactos y explosiones. En septiembre de 2024, el Institute for Science and International Security (ISIS) publicó un informe detallando posibles violaciones.