Investigadores de ciberseguridad han descubierto lo que dicen es una actividad cibernética maliciosa orquestada por dos destacados grupos de piratería de estados-nación chinos que tienen como objetivo 24 organizaciones gubernamentales camboyanas.
«Se cree que esta actividad es parte de una campaña de espionaje a largo plazo», investigadores de la Unidad 42 de Palo Alto Networks. dicho en un informe la semana pasada.
«La actividad observada se alinea con los objetivos geopolíticos del gobierno chino, que busca aprovechar sus fuertes relaciones con Camboya para proyectar su poder y expandir sus operaciones navales en la región».
Las organizaciones objetivo incluyen defensa, supervisión electoral, derechos humanos, tesoro y finanzas nacionales, comercio, política, recursos naturales y telecomunicaciones.
La evaluación surge de la naturaleza persistente de las conexiones de red entrantes que se originan desde estas entidades a una infraestructura adversaria vinculada a China que se hace pasar por servicios de almacenamiento y respaldo en la nube durante un «período de varios meses».
Algunos de los nombres de dominio de comando y control (C2) se enumeran a continuación:
- api.infinitycloud[.]información
- conectar.infinitycloud[.]información
- conectar.infinitybackup[.]neto
- archivo.wonderbackup[.]com
- iniciar sesión.wonderbackup[.]com
- actualización.wonderbackup[.]com
Es probable que la táctica sea un intento por parte de los atacantes de pasar desapercibidos y mezclarse con el tráfico legítimo de la red.
Es más, los vínculos con China se basan en el hecho de que la actividad del actor de amenazas se ha observado principalmente durante el horario comercial habitual en China, con una caída registrada a finales de septiembre y principios de octubre de 2023, coincidiendo con la Fiestas nacionales de la Semana Doradaantes de volver a niveles regulares el 9 de octubre.
Los grupos de hackers del nexo con China, como Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat y UNC4191, han lanzado una serie de campañas de espionaje dirigidas a los sectores público y privado de toda Asia en los últimos meses.
El mes pasado, Elastic Security Labs detalló un conjunto de intrusiones con nombre en código REF5961 que se encontró aprovechando puertas traseras personalizadas como EAGERBEE, RUDEBIRD, CENTRO DE LA CIUDADy ALQUIMIA DE SANGRE en sus ataques dirigidos contra los países de la Asociación de Naciones del Sudeste Asiático (ASEAN).
Se descubrió que las familias de malware «eran co-residentes con un conjunto de intrusión previamente reportado, REF2924», el último de los cuales se considera un grupo alineado con China debido a su uso de ShadowPad y superposiciones tácticas con Winnti y ChamelGang.
Las revelaciones también siguen a un informe de Recorded Future que destaca el cambio en la actividad de ciberespionaje chino, describiéndola como más madura y coordinada, y con un fuerte enfoque en la explotación de fallas conocidas y de día cero en los servidores de correo electrónico públicos, la seguridad y la red. accesorios.
Desde principios de 2021, a grupos patrocinados por el estado chino se les ha atribuido la explotación de 23 vulnerabilidades de día cero, incluidas las identificadas en Microsoft Exchange Server, Solarwinds Serv-U, Sophos Firewall, Fortinet FortiOS, Barracuda Email Security Gateway y Atlassian. Centro de datos y servidor de Confluence.
Las operaciones cibernéticas patrocinadas por el Estado han evolucionado «desde un amplio robo de propiedad intelectual a un enfoque más específico que respalda objetivos estratégicos, económicos y geopolíticos específicos, como los relacionados con la Iniciativa de la Franja y la Ruta y las tecnologías críticas», dijo la compañía. dicho.