
Un ataque de ransomware mundial de RA en noviembre de 2024 dirigido a una compañía de software y servicios asiáticos no identificados implicó el uso de una herramienta maliciosa utilizada exclusivamente por grupos de ciber espionaje con sede en China, lo que plantea la posibilidad de que el actor de amenaza pueda ser iluminado como un reproductor de ransomware en un individuo capacidad.
“Durante el ataque a fines de 2024, el atacante desplegó un conjunto de herramientas distinto que anteriormente había sido utilizado por un actor vinculado a China en ataques de espionaje clásicos”, el equipo de cazadores de amenazas de Symantec, parte de Broadcom, dicho En un informe compartido con The Hacker News.
“En todas las intrusiones anteriores que involucraban el conjunto de herramientas, el atacante parecía estar involucrado en un espionaje clásico, aparentemente interesado únicamente en mantener una presencia persistente en las organizaciones específicas al instalar traseros”.
Esto incluyó un compromiso de julio de 2024 del Ministerio de Relaciones Exteriores de un país en el sudeste de Europa que implicó el uso de técnicas clásicas de carga lateral de DLL para implementar el actor ANGLX (también conocido como KorPlug), un malware utilizado repetidamente por el actor Mustang Panda (también conocido como FireAnt y Reddelta). .
Específicamente, las cadenas de ataque implican el uso de un ejecutable legítimo de Toshiba llamado “Toshdpdb.exe” para que se vaya a una dll maliciosa llamada “Toshdpapi.dll”, que, a su vez, actúa como un conducto para cargar la carga útil de Tugin.
Se han observado otras intrusiones vinculadas al mismo conjunto de herramientas en relación con ataques dirigidos a dos entidades gubernamentales diferentes en el sureste de Europa y el sudeste asiático en agosto de 2024, un operador de telecomunicaciones en septiembre de 2024 y otro ministerio gubernamental en un país del sudeste asiático diferente en enero de 2025.
Sin embargo, Symantec señaló que observó que la variante Plugx se implementa en noviembre de 2024 como parte de una campaña de extorsión criminal contra una compañía de software y servicios de tamaño mediano en el sur de Asia.
No está exactamente claro cómo se comprometió la red de la compañía, aunque el atacante afirmó haberlo hecho explotando un defecto de seguridad conocido en el software PAYA ALTO PAN-OS (CVE-2024-0012). El ataque culminó con las máquinas encriptadas con el ransomware RA World, pero no antes de que el binario Toshiba se usara para lanzar el malware Tugx.
En este punto, vale la pena señalar que los análisis anteriores de la Unidad 42 de Cisco Talos y Palo Alto Networks han descubierto superposición de la artesanía Entre RA World (anteriormente llamado RA Group) y un grupo de amenazas chino conocido como Bronce Starlight (también conocido como Storm-401 y Emperor Dragonfly) que tiene una historia de uso de familias de ransomware de corta duración.
Si bien no se sabe por qué un actor de espionaje también está llevando a cabo un ataque con motivación financiera, Symantec teorizó que un actor solitario probablemente está detrás del esfuerzo y que intentaban obtener algunas ganancias rápidas en el lado. Esta evaluación también se alinea con el análisis de Sygnia de la libélula del emperador en octubre de 2022, que describió como un “actor de una sola amenaza”.
Esta forma de luz de la luna, aunque rara vez se observa en el ecosistema de piratería chino, es mucho más frecuente entre los actores de amenaza de Irán y Corea del Norte.
“Otra forma de actividad de motivación financiera que respalda los objetivos estatales son los grupos cuya misión principal puede ser un espionaje patrocinado por el estado, ya sea tácitamente o explícitamente, realizar operaciones motivadas financieramente para complementar sus ingresos”, el Grupo de Inteligencia de Amenazas de Google (GTIG) dicho En un informe publicado esta semana.
“Esto puede permitir que un gobierno compense los costos directos que se requerirían para mantener grupos con capacidades sólidas”.
Salt Typhoon Explota dispositivos vulnerables de Cisco para violar las empresas de telecomunicaciones
El desarrollo se produce cuando el grupo de piratería de estado-estado chino denominado tifón de sal se ha vinculado a un conjunto de ataques cibernéticos que aprovechan fallas de seguridad conocidas en los dispositivos de la red Cisco (CVE-2023-20198 y CVE-2023-20273) para penetrar múltiples redes.
Se evalúa que la actividad cibernética maliciosa ha señalado a una afiliada con sede en los Estados Unidos de un significativo proveedor de telecomunicaciones con sede en el Reino Unido, un proveedor de telecomunicaciones sudafricano y un servicio de Internet italiano y un gran proveedor de telecomunicaciones de Tailandia basado en comunicaciones detectadas entre los dispositivos de Cisco infectados entre Cisco infectados y la infraestructura del actor de amenaza.
El ataques Tuvo lugar entre el 4 de diciembre de 2024 y el 23 de enero de 2025, dijo el grupo Insikt de Future, y agregó el adversario, también rastreado como Estries de Tierra, Famiables Sparrow, Ghostemperor, Redmike y UNC2286, intentó explotar más de 1,000 dispositivos de cisco global durante los periodo de tiempo.
Más de la mitad de los electrodomésticos de Cisco objetivo se encuentran en los Estados Unidos, América del Sur e India. En lo que parece ser una ampliación del enfoque de la orientación, el tifón de sal también se ha observado dispositivos asociados con más de una docena de universidades en Argentina, Bangladesh, Indonesia, Malasia, México, los Países Bajos, Tailandia, los Estados Unidos y Vietnam.
“Redmike posiblemente se dirigió a estas universidades para acceder a la investigación en áreas relacionadas con las telecomunicaciones, la ingeniería y la tecnología, particularmente en instituciones como UCLA y Tu Delft”, la compañía dicho.
El actor de amenazas sigue un compromiso exitoso que utiliza los privilegios elevados para cambiar la configuración del dispositivo y agregar un túnel de encapsulación de enrutamiento genérico (GRE) para acceso persistente y exfiltración de datos entre los dispositivos Cisco comprometidos y su infraestructura.
El uso de dispositivos de red vulnerables como puntos de entrada a las víctimas objetivo se ha convertido en un libro de jugadas estándar para Salt Typhoon y otros grupos de piratería chinos como Tifón voltioen parte, debido al hecho de que carecen de controles de seguridad y no son compatibles con las soluciones de detección y respuesta de punto final (EDR).
Para mitigar el riesgo planteado por dichos ataques, se recomienda que las organizaciones prioricen la aplicación de parches de seguridad disponibles y actualizaciones para los dispositivos de red de acceso público y eviten exponer interfaces administrativas o servicios no esenciales a Internet, particularmente para aquellos que han alcanzado el final de Vida (EOL).







