Un presunto actor de amenazas con sede en China ha sido vinculado a una serie de ataques cibernéticos dirigidos a organizaciones de alto perfil en el sudeste asiático desde al menos octubre de 2023.
La campaña de espionaje se dirigió a organizaciones de diversos sectores que abarcaban ministerios gubernamentales de dos países diferentes, una organización de control de tráfico aéreo, una empresa de telecomunicaciones y un medio de comunicación, el Symantec Threat Hunter Team. dicho en un nuevo informe compartido con The Hacker News.
Los ataques, que aprovecharon herramientas previamente identificadas como vinculadas a grupos de amenazas persistentes avanzadas (APT) con sede en China, se caracterizan por el uso de técnicas de código abierto y de vida de la tierra (LotL).
Esto incluye el uso de programas de proxy inverso como Rakshasa y Stowaway, así como herramientas de identificación y descubrimiento de activos, registradores de pulsaciones de teclas y ladrones de contraseñas. También se implementó durante el curso de los ataques PlugX (también conocido como Korplug), un troyano de acceso remoto utilizado por varios grupos de hackers chinos.
“Los actores de amenazas también instalan archivos DLL personalizados que actúan como filtros de mecanismo de autenticación, permitiéndoles interceptar las credenciales de inicio de sesión”, escribió Symantec. La empresa propiedad de Broadcom dijo a The Hacker News que no pudo determinar el vector de infección inicial en ninguno de los ataques.
En uno de los ataques dirigidos a una entidad que duró tres meses entre junio y agosto de 2024, el adversario llevó a cabo actividades de reconocimiento y volcado de contraseñas, al mismo tiempo que instaló un registrador de teclas y ejecutó cargas útiles DLL capaces de capturar información de inicio de sesión del usuario.
Symantec señaló que los atacantes lograron retener el acceso encubierto a las redes comprometidas durante períodos prolongados, lo que les permitió recopilar contraseñas y mapear redes de interés. La información recopilada se comprimió en archivos protegidos con contraseña utilizando WinRAR y luego se cargó en servicios de almacenamiento en la nube como File.io.
“Este tiempo de permanencia prolongado y este enfoque calculado subrayan la sofisticación y persistencia de los actores de la amenaza”, dijo la compañía. “La ubicación geográfica de las organizaciones objetivo, así como el uso de herramientas vinculadas anteriormente a grupos APT con sede en China, sugiere que esta actividad es obra de actores con sede en China”.
Vale la pena señalar que la ambigüedad al atribuir estos ataques a un actor de amenazas chino específico subraya la dificultad de rastrear grupos de ciberespionaje cuando con frecuencia comparten herramientas y utilizan oficios similares.
Las tensiones geopolíticas en el sudeste asiático durante en curso disputas territoriales en el Mar de China Meridional se han complementado con una serie de ciberataques dirigidos a la región, como lo demuestran los grupos de actividad de amenazas rastreados como Unfading Sea Haze, Mustang Panda, CeranaKeeper y Operation Crimson Palace.
El acontecimiento se produce un día después de que SentinelOne SentinelLabs y Tinexta Cyber revelaran ataques realizados por un grupo de ciberespionaje del nexo con China dirigido a grandes proveedores de servicios de TI de empresa a empresa en el sur de Europa como parte de un grupo de actividades denominado Operación Ojo Digital.
La semana pasada, Symantec también reveló que una gran organización estadounidense anónima fue violada por probables actores de amenazas chinos entre abril y agosto de 2024, tiempo durante el cual se movieron lateralmente a través de la red, comprometiendo múltiples computadoras y potencialmente exfiltrando datos.