Las organizaciones de investigación de materiales en Asia han sido atacadas por un actor de amenazas previamente desconocido que utiliza un conjunto distinto de herramientas.
Symantec, de Broadcom Software, está rastreando el clúster bajo el nombre clasiopa. Actualmente se desconocen los orígenes del grupo de piratería y sus afiliaciones, pero hay indicios que sugieren que el adversario podría tener vínculos con la India.
Esto incluye referencias a «SAPTARISHI-ATHARVAN-101» en una puerta trasera personalizada y el uso de la contraseña «iloveindea1998^_^» para un archivo ZIP.
Vale la pena señalar que Saptarishique significa «Siete sabios» en sánscrito, se refiere a un grupo de videntes venerados en la literatura hindú. Atharvan fue un antiguo sacerdote hindú y se cree que fue coautor de uno de los cuatro Vedasuna colección de escrituras religiosas en el hinduismo.
«Si bien estos detalles podrían sugerir que el grupo tiene su sede en India, también es muy probable que la información se planteó como banderas falsas, y la contraseña en particular parece ser una pista demasiado obvia», dijo Symantec en un comunicado. informe compartido con The Hacker News.
Tampoco está claro el medio exacto de acceso inicial, aunque se sospecha que las incursiones cibernéticas se aprovechan de los ataques de fuerza bruta en los servidores de Internet.
Algunas de las características clave de las intrusiones incluyen la limpieza del monitor del sistema (Sysmon) y los registros de eventos, así como el despliegue de múltiples puertas traseras, como Atharvan y una versión modificada del software de código abierto. rata lilithpara recopilar y exfiltrar información confidencial.
Atharvan también es capaz de ponerse en contacto con un servidor de comando y control (C&C) codificado para recuperar archivos y ejecutar ejecutables arbitrarios en el host infectado.
«Las direcciones de C&C codificadas que se ven en una de las muestras analizadas hasta la fecha eran para la región de Amazon AWS Corea del Sur (Seúl), que no es una ubicación común para la infraestructura de C&C», señaló Symantec.
La divulgación se produce un día después de que la firma de ciberseguridad revelara otro grupo de amenazas hasta ahora indocumentado conocido como Hydrochasma que se ha observado apuntando a compañías navieras y laboratorios médicos en Asia.