Los grupos de ciberespionaje asociados con China han sido vinculados a una campaña de larga duración que se ha infiltrado en varios operadores de telecomunicaciones ubicados en un solo país asiático al menos desde 2021.
«Los atacantes colocaron puertas traseras en las redes de las empresas objetivo y también intentaron robar credenciales», dijo el equipo Symantec Threat Hunter, parte de Broadcom. dicho en un informe compartido con The Hacker News.
La firma de ciberseguridad no reveló el país objetivo, pero dijo que encontró evidencia que sugiere que la actividad cibernética maliciosa pudo haber comenzado ya en 2020.
Los ataques también tuvieron como objetivo una empresa de servicios no identificada que atendía al sector de las telecomunicaciones y una universidad en otro país asiático, añadió.
La elección de herramientas utilizadas en esta campaña se superpone con otras misiones realizadas por grupos de espionaje chinos como Mustang Panda (también conocido como Earth Preta y Fireant), RedFoxtrot (también conocido como Neeedleminer y Nomad Panda) y Naikon (también conocido como Firefly) en los últimos años.
Esto incluye puertas traseras personalizadas rastreadas como COOLCLIENT, QUICKHEAL y RainyDay que vienen equipadas con capacidades para capturar datos confidenciales y establecer comunicación con un servidor de comando y control (C2).
Si bien actualmente se desconoce la ruta de acceso inicial exacta utilizada para violar los objetivos, la campaña también se destaca por implementar herramientas de escaneo de puertos y realizar robo de credenciales mediante el vertido de Colmenas del Registro de Windows.
El hecho de que las herramientas tengan conexiones con tres colectivos adversarios diferentes ha planteado varias posibilidades: los ataques se llevan a cabo de forma independiente entre sí, un único actor de amenaza está utilizando herramientas adquiridas de otros grupos o diversos actores están colaborando en una sola campaña.
Tampoco está claro en esta etapa el motivo principal detrás de las intrusiones, aunque los actores de amenazas chinos tienen un historial de atacar el sector de las telecomunicaciones en todo el mundo.
En noviembre de 2023, Kaspersky reveló una campaña de malware ShadowPad dirigida a una de las empresas nacionales de telecomunicaciones de Pakistán mediante la explotación de fallas de seguridad conocidas en Microsoft Exchange Server (CVE-2021-26855, también conocido como ProxyLogon).
«Es posible que los atacantes hayan estado recopilando información sobre el sector de las telecomunicaciones en ese país», postuló Symantec. «Las escuchas ilegales son otra posibilidad. Alternativamente, los atacantes pueden haber estado intentando construir una capacidad disruptiva contra la infraestructura crítica en ese país».