Los proveedores de servicios de telecomunicaciones y TI en el Medio Oriente y Asia están siendo atacados por un grupo de amenazas de habla china previamente indocumentado denominado WIP19.
Los ataques relacionados con el espionaje se caracterizan por el uso de un certificado digital robado emitido por una empresa coreana llamada DEEPSuave para firmar artefactos maliciosos desplegados durante la cadena de infección para evadir la detección.
«Casi todas las operaciones realizadas por el actor de amenazas se completaron con un ‘teclado práctico’, durante una sesión interactiva con máquinas comprometidas», los investigadores de SentinelOne, Joey Chen y Amitai Ben Shushan Ehrlich. dijo en un informe esta semana.
«Esto significó que el atacante se dio por vencido en un establo [command-and-control] canal a cambio de sigilo».
WIP, abreviatura de trabajo en curso, es el apodo asignado por SentinelOne a grupos de actividad emergentes o hasta ahora no atribuidos, similar a las designaciones UNC####, DEV-#### y TAG-## dadas por Mandiant, Microsoft y Futuro Grabado.
La firma de ciberseguridad también señaló que partes seleccionadas de los componentes maliciosos empleados por WIP19 fueron creados por un autor de malware de habla china llamado WinEggDrop, que ha estado activo desde 2014.
Se dice que WIP19 comparte enlaces a otro grupo con nombre en código Operación Fuerza de la Sombra debido a superposiciones en el uso de malware creado por WinEggDrop, certificados robados y superposiciones tácticas.
Dicho esto, señaló SentinelOne, «no está claro si se trata de una nueva iteración de la operación ‘Shadow Force’ o simplemente de un actor diferente que utiliza TTP similares».
Las intrusiones montadas por el colectivo adversario se basan en un conjunto de herramientas personalizado que incluye una combinación de un volcador de credenciales, un escáner de red, un ladrón de navegador, un registrador de pulsaciones de teclas y un grabador de pantalla (ScreenCap), y un implante conocido como SQLMaggie.
SQLMaggie también fue objeto de un análisis en profundidad por parte de la empresa alemana de ciberseguridad. DCSO CyTec a principios de este mes, destacando su capacidad para ingresar a los servidores de Microsoft SQL y aprovechar el acceso para ejecutar comandos arbitrarios a través de consultas SQL.
Un análisis de los datos de telemetría reveló además la presencia de SQLMaggie en 285 servidores distribuidos en 42 países, principalmente Corea del Sur, India, Vietnam, China, Taiwán, Rusia, Tailandia, Alemania, Irán y EE. UU.
El hecho de que los ataques estén dirigidos con precisión y de bajo volumen, sin mencionar que se hayan centrado en el sector de las telecomunicaciones, indica que el motivo principal detrás de la campaña puede ser recopilar inteligencia.
Los hallazgos son otra indicación de cómo los grupos de piratería alineados con China se expanden y son fluidos a la vez debido a la reutilización del malware entre varios actores de amenazas.
«WIP19 es un ejemplo de la mayor amplitud de la actividad de espionaje china experimentada en las industrias de infraestructura crítica», dijeron los investigadores de SentineOne.
«La existencia de intendentes confiables y desarrolladores comunes permite un panorama de grupos de amenazas difíciles de identificar que utilizan herramientas similares, lo que hace que los grupos de amenazas sean difíciles de distinguir desde el punto de vista de los defensores».