Los investigadores de ciberseguridad de Kaspersky publicaron el 8 de agosto un relación en una campaña de espionaje cibernético orquestada desde China en enero. Según ellos, se dirigió a industrias militares, agencias gubernamentales, instituciones públicas en Europa del Este y Afganistán.
China en el centro de la sospecha
El grupo TA428, supuestamente cercano a Pekín, es el principal sospechoso de este acto de ciberespionaje. Kaspersky, aunque sigue siendo cauteloso, cree que muchas pistas apuntan en esta dirección», Podemos ver superposiciones significativas en Tácticas, Técnicas y Procedimientos (TTP) con la actividad TA428 nota de los investigadores. La información recopilada terminó en servidores en China, se identificaron herramientas de piratería populares entre los ciberdelincuentes chinos, los tiempos de ataque corresponden a las horas de oficina en el Reino Medio.
Ciberataque: miles de billeteras de Solana vaciadas por varios millones de dólares
Sobre todo, de los seis programas maliciosos utilizados, se dice que cinco están relacionados con TA428 y se desconoce el último. Uno de ellos, PortDoor, fue desarrollado por un grupo patrocinado por el estado chino. Kaspersky ha identificado una versión mejorada. Se había utilizado una versión anterior para el espionaje cibernético en una empresa de defensa rusa que diseñaba submarinos nucleares en 2021.
TA428 es justamente conocido por apuntar a organizaciones militares y de investigación en Asia y Europa del Este. Kaspersky considera probable que la campaña detectada sea una extensión de una anterior ya detectada.
En total, se han identificado una docena de víctimas en Bielorrusia, Rusia, Ucrania y Afganistán. Para los autores del informe, estamos lejos de ser un golpe de mala suerte”, los resultados de la investigación indican que se trató de un ataque dirigido y, hasta se podría decir, preciso «.
En rojo, los Estados objetivo de la operación. Captura de pantalla: Kaspersky
Para llegar a sus víctimas, industrias militares u otras agencias gubernamentales, los ciberdelincuentes han utilizado la táctica clásica del phishing, un correo electrónico con un archivo adjunto venenoso, aquí un documento de Word. Este phishing fue particularmente extenso.
El ciberespionaje del TA428 podría continuar
Algunos de los mensajes enviados contenían información interna muy precisa, incluso datos supuestamente confidenciales”, Esto podría indicar que los atacantes realizaron algún trabajo preparatorio de antemano (es posible que hayan obtenido esta información de ataques anteriores a la misma organización o a sus empleados, o a otras organizaciones o personas asociadas con la organización víctima) dice Kaspersky.
La voluntad del ciberespionaje está fuera de toda duda. Pekín, fuertemente sospechosa, ya se había enfrentado a una acusación similar en mayo de 2022. La proximidad entre Rusia y China no constituye un obstáculo para este tipo de operaciones: también existe espionaje entre aliados, el asunto Snowden, en 2013 los espectáculos.
China tiene fama de ser muy agresiva en esta área. Kaspersky concluyó su informe con una advertencia: » La serie de ataques que hemos descubierto no son los primeros de la campaña y dado que los atacantes están logrando cierto grado de éxito, creemos que es muy probable que continúen realizando ataques similares en el futuro. «.