Un actor de amenazas persistentes avanzadas (APT) conocido como gusano cogollero se dirigió a una entidad con sede en EE. UU. por primera vez en más de seis años, según las últimas investigaciones.
El ataque estaba dirigido a una legislatura estatal de EE. UU. no identificada, el equipo Symantec Threat Hunter, parte de Broadcom Software, dijo en un informe compartido con The Hacker News.
Otras intrusiones «estratégicamente significativas» montadas en los últimos seis meses fueron dirigidas contra el gobierno de un país del Medio Oriente, un fabricante multinacional de productos electrónicos y un hospital en el sudeste asiático.
gusano cogollerotambién llamado APT27, Bronze Union, Emissary Panda, Lucky Mouse y Red Phoenix, es un actor de amenazas que se cree que opera en nombre de China a través de ataques que aprovechan una combinación de herramientas personalizadas y disponibles abiertamente para filtrar información de interés.
«Bronze Union mantiene un alto grado de flexibilidad operativa para adaptarse a los entornos en los que opera», Secureworks notas en un perfil del grupo de estado-nación, señalando su capacidad para «mantener el acceso a sistemas sensibles durante un largo período de tiempo».
Una puerta trasera prominente atribuida al colectivo adversario es HyperBro, que se ha utilizado desde al menos 2013 y está en continuo desarrollo. Sus otras herramientas incluyen PlugX, SysUpdate y el shell web de China Chopper.
El último conjunto de ataques no es diferente, ya que el actor de amenazas aprovecha las fallas de Log4Shell para comprometer servidores e instalar shells web, lo que finalmente allana el camino para la implementación de HyperBro, PlugX, Cobalt Strike y el software de descarga de credenciales.
El desarrollo marca la segunda vez que Budworm se vincula con un ataque a una entidad estadounidense. A principios de este mes, el gobierno de EE. UU. reveló que varios grupos de piratería de estados nacionales violaron una organización del sector de defensa utilizando fallas de ProxyLogon en Microsoft Exchange Server para eliminar a China Chopper e HyperBro.
«En años más recientes, la actividad del grupo parece haberse centrado en gran medida en Asia, Oriente Medio y Europa», dijeron los investigadores. «La reanudación de los ataques contra objetivos en Estados Unidos podría indicar un cambio de enfoque para el grupo».