Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Hackers vinculados a China comprometen a ISP para implementar actualizaciones de software maliciosas
  • Tecnología

Hackers vinculados a China comprometen a ISP para implementar actualizaciones de software maliciosas

teknomers 5 de Ağustos de 2024 (Last updated: 5 de Ağustos de 2024) 4 minutes read
Hackers vinculados a China comprometen a ISP para implementar actualizaciones


5 de agosto de 2024Ravie LakshmananSeguridad del navegador / Seguridad de Windows

El actor de amenazas vinculado a China conocido como Panda evasivo comprometió a un proveedor de servicios de Internet (ISP) anónimo para enviar actualizaciones de software malicioso a las empresas objetivo a mediados de 2023, lo que pone de relieve un nuevo nivel de sofisticación asociado con el grupo.

Evasive Panda, también conocido por los nombres Bronze Highland, Daggerfly y StormBamboo, es un grupo de espionaje cibernético que ha estado activo desde al menos 2012, aprovechando puertas traseras como MgBot (también conocido como POCOSTICK) y Nightdoor (también conocido como NetMM y Suzafk) para recopilar información confidencial.

Más recientemente, se atribuyó formalmente al actor de amenazas el uso de una cepa de malware para macOS llamada MACMA, que se ha observado en actividad desde 2021.

La seguridad cibernética

“StormBamboo es un actor de amenazas altamente calificado y agresivo que compromete a terceros (en este caso, un ISP) para vulnerar los objetivos previstos”, Volexity dicho en un informe publicado la semana pasada.

“La variedad de malware empleado en varias campañas por este actor de amenazas indica que se invierte un esfuerzo significativo, con cargas útiles respaldadas activamente no solo para macOS y Windows, sino también para dispositivos de red”.

Los informes públicos de ESET y Symantec durante los últimos dos años han documentado el uso de MgBot por parte de Evasive Panda y su historial de orquestación de ataques a pozos de agua y cadenas de suministro dirigidos a usuarios tibetanos.

También se descubrió que había atacado a una organización no gubernamental (ONG) internacional en China continental con MgBot distribuido a través de canales de actualización de aplicaciones legítimas como Tencent QQ.

Actualizaciones de software malicioso

Si bien se especuló que las actualizaciones troyanizadas fueron el resultado de un compromiso de la cadena de suministro de los servidores de actualización de Tencent QQ o un caso de un ataque de adversario en el medio (AitM), el análisis de Volexity confirma que este último se debe a un ataque de envenenamiento de DNS a nivel de ISP.

En concreto, se dice que el actor de la amenaza está alterando las respuestas de las consultas DNS para dominios específicos vinculados a mecanismos automáticos de actualización de software, yendo tras software que utiliza mecanismos de actualización inseguros, como HTTP, o que no aplica controles de integridad adecuados de los instaladores.

“Se descubrió que StormBamboo envenenó las solicitudes DNS para implementar malware a través de un mecanismo de actualización automática HTTP y envenenó las respuestas de nombres de host legítimos que se usaron como servidores de comando y control (C2) de segunda etapa”, dijeron los investigadores Ankur Saini, Paul Rascagneres, Steven Adair y Thomas Lancaster.

La seguridad cibernética

Las cadenas de ataque son bastante sencillas, ya que se abusa de los mecanismos de actualización inseguros para enviar MgBot o MACMA, según el sistema operativo utilizado. Volexity afirmó que notificó al ISP en cuestión para que remediara el ataque de envenenamiento de DNS.

Un caso también implicó la implementación de una extensión de Google Chrome en el dispositivo macOS de la víctima modificando el archivo de preferencias seguras. El complemento del navegador pretende ser una herramienta que carga una página en modo de compatibilidad con Internet Explorer, pero su objetivo principal es exfiltrar cookies del navegador a una cuenta de Google Drive controlada por el adversario.

“El atacante puede interceptar solicitudes DNS y envenenarlas con direcciones IP maliciosas, y luego usar esta técnica para abusar de los mecanismos de actualización automática que utilizan HTTP en lugar de HTTPS”, dijeron los investigadores.

¿Te ha parecido interesante este artículo? Síguenos en Gorjeo  y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: El marinero Yannick Lefèbvre recibe flores en la Villa Olímpica de Middelkerke
Next: Final de la temporada 2 de House of the Dragon: dragones, traición y batallas épicas

Related Stories

Steam supera los 200 millones de jugadores, muy por delante
  • Tecnología

Steam supera los 200 millones de jugadores, muy por delante de PlayStation

teknomers 8 de Temmuz de 2026
Beatbot AquaSense 2, Pro, Ultra: los robots de piscina IA
  • Tecnología

Beatbot AquaSense 2, Pro, Ultra: los robots de piscina IA en oferta

teknomers 8 de Temmuz de 2026
Rowenta X-Pert 6.60 a la venta a -38%: un aspirador
  • Tecnología

Rowenta X-Pert 6.60 a la venta a -38%: un aspirador escoba coherente y razonable para un pequeño hogar

teknomers 8 de Temmuz de 2026

You May Have Missed

  • Deporte

Resultados de Wimbledon 2026: Arthur Fery desafía las probabilidades y alcanza una sorprendente semifinal

teknomers 8 de Temmuz de 2026
Steam supera los 200 millones de jugadores, muy por delante
  • Tecnología

Steam supera los 200 millones de jugadores, muy por delante de PlayStation

teknomers 8 de Temmuz de 2026
Foto de la contaminación del aire en Haute-Garonne: la velocidad
  • salud

Foto de la contaminación del aire en Haute-Garonne: la velocidad reducida a 20 km/h en las carreteras del departamento a partir de este jueves.

teknomers 8 de Temmuz de 2026
La ridícula caída del jugador inglés Jordan Henderson le costó
  • Entretenimiento

La ridícula caída del jugador inglés Jordan Henderson le costó su final en la Copa del Mundo

teknomers 8 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.