El grupo de hackers APT41, también conocido como Winnti, Bario o Double Dragon, ha llevado a cabo una vasta operación de espionaje en nombre de Pekín desde 2019 hasta la actualidad. También se sabe que los piratas informáticos se han dirigido a la industria de los videojuegos, inyectando malware en algunos títulos principales. En agosto, la firma de ciberseguridad Group-IB detectó nueva actividad del grupo, informa Té noticias de hackers. Se dice que sus últimos ataques afectaron a 13 organizaciones en todo el mundo en el año 2021.
Ataques que afectan a varios sectores
Estados Unidos, China, India, Vietnam y Taiwán se encuentran entre los países en los que las organizaciones han sido objeto de ciberataques APT41. Según Group-IB, los sectores de salud, logística, educación, aviación y medios de comunicación se han visto afectados. Air India fue atacada notablemente en junio de 2021, un año después de las disputas fronterizas de India con China, en un asalto con nombre en código ColumnTK. Se han detectado otras tres grandes oleadas de ataques: DelayLinkTK, Mute-Pond y Gentle-Voice.
Ciberataque: miles de billeteras de Solana vaciadas por varios millones de dólares
Los piratas informáticos APT41 tienen métodos bien definidos para llevar a cabo sus ataques. Utilizan principalmente phishing y explotan vulnerabilidades en sistemas específicos. El grupo realiza ataques tipo “watering hole”, que consisten en engañar a los usuarios para que infecten un sitio que visitan con frecuencia. También realizan ataques a la cadena de suministro, es decir, atacan primero a los proveedores de una empresa, y luego la atacan directamente.
Según Group-IB, la metodología de APT41 es inusual. Utiliza una táctica que permite que los ataques grupales pasen casi desapercibidos. Para hacer esto, los piratas informáticos inyectan consultas SQL, un lenguaje informático utilizado para explotar bases de datos, en nombres de dominio específicos. De esta forma, se infiltran en las redes de las víctimas y emiten una baliza, llamada Cobalt Strike, en pequeños fragmentos para pasar desapercibidos. Es esta etiqueta la que introducirá el código malicioso y lo ejecutará.
Un grupo de hackers buscados activamente
Group-IB explica que ha identificado 106 servidores únicos en el origen de estas balizas Cobalt Strike entre 2020 y finales de 2021. Estos servidores se utilizan para comandar y controlar los ataques. » En el pasado, esta herramienta era la favorita de las bandas de ciberdelincuentes que atacaban a los bancos, mientras que hoy en día es popular entre varios actores de amenazas cibernéticas, independientemente de su motivación, incluidos los infames operadores de ransomware. “, detalló Nikita Rostovtsev, analista de Group-IB.
Para confirmar el origen de los ataques, Groupe-IB pudo determinar que se produjeron entre las 9 y las 19 horas. La zona horaria que corresponde al período de actividad de los piratas informáticos de países como Malasia, Singapur, parte de Rusia y, por supuesto, China, sospechosos de estar detrás de los ataques.
Algunos miembros del grupo de piratas informáticos son conocidos por las autoridades estadounidenses y son buscados activamente por llevar a cabo varios ataques en los Estados Unidos. En esta ocasión, uno de los hackers se había jactado abiertamente de estar adscrito al Ministerio de Seguridad del Estado chino, reforzando las sospechas de las autoridades estadounidenses.