Un grupo de actividad de amenazas patrocinado por el estado chino rastreado como rojogolf ha sido atribuido al uso de una puerta trasera personalizada de Windows y Linux llamada KEYPLUG.
«RedGolf es un grupo de actores de amenazas patrocinado por el estado chino particularmente prolífico que probablemente ha estado activo durante muchos años contra una amplia gama de industrias a nivel mundial», dijo Recorded Future a The Hacker News.
«El grupo ha demostrado la capacidad de armar rápidamente vulnerabilidades recientemente reportadas (por ejemplo, Log4Shell y ProxyLogon) y tiene un historial de desarrollo y uso de una amplia gama de familias de malware personalizadas».
El uso de KEYPLUG por parte de actores de amenazas chinos fue revelado por primera vez por Manidant, propiedad de Google, en marzo de 2022 en ataques dirigidos a múltiples redes del gobierno estatal de EE. UU. entre mayo de 2021 y febrero de 2022.
Luego, en octubre de 2022, Malwarebytes detalló un conjunto separado de ataques dirigidos a entidades gubernamentales en Sri Lanka a principios de agosto que aprovecharon un implante novedoso denominado DBoxAgent para implementar KEYPLUG.
Ambas campañas se atribuyeron a Winnti (alias APT41Bario, Atlas de bronce o Panda malvado), que Recorded Future dijo que «se superpone estrechamente» con RedGolf.
«No hemos observado victimología específica como parte de la última actividad destacada de RedGolf», dijo Recorded Future. «Sin embargo, creemos que es probable que esta actividad se lleve a cabo con fines de inteligencia en lugar de obtener ganancias financieras debido a las superposiciones con campañas de ciberespionaje informadas anteriormente».
La firma de ciberseguridad, además de detectar un grupo de muestras de KEYPLUG e infraestructura operativa (nombre en código GhostWolf) utilizada por el grupo de piratería desde al menos 2021 a 2023, notó el uso de otras herramientas como Cobalt Strike y PlugX.
La infraestructura de GhostWolf, por su parte, consta de 42 direcciones IP que funcionan como comando y control de KEYPLUG. También se ha observado que el colectivo adversario utiliza una combinación de dominios registrados tradicionalmente y dominios DNS dinámicos, que a menudo presentan un tema tecnológico, para actuar como puntos de comunicación para Cobalt Strike y PlugX.
“RedGolf continuará demostrando un alto ritmo operativo y armará rápidamente las vulnerabilidades en los dispositivos corporativos externos (VPN, firewalls, servidores de correo, etc.) para obtener acceso inicial a las redes de destino”, dijo la compañía.
¡Conviértase en un profesional de respuesta a incidentes!
Descubra los secretos de la respuesta a incidentes a prueba de balas: ¡domine el proceso de 6 fases con Asaf Perlman, líder de IR de Cynet!
«Además, es probable que el grupo continúe adoptando nuevas familias de malware personalizadas para agregar a las herramientas existentes, como KEYPLUG».
Para defenderse de los ataques de RedGolf, se recomienda a las organizaciones que apliquen parches periódicamente, controlen el acceso a dispositivos de red externos, rastreen y bloqueen la infraestructura de comando y control identificada y configuren sistemas de prevención o detección de intrusiones para controlar las detecciones de malware.
Los hallazgos se producen cuando Trend Micro reveló que descubrió más de 200 víctimas de los ataques de Mustang Panda (también conocido como Earth Preta) como parte de un esfuerzo de espionaje cibernético de gran alcance orquestado por varios subgrupos asociados con el actor de amenazas desde 2022.
La mayoría de los ataques cibernéticos se han detectado en Asia, seguida de África, Europa, Medio Oriente, Oceanía, América del Norte y América del Sur.
«Hay fuertes indicios de intercambio de inteligencia tradicional entrelazada y esfuerzos de recopilación cibernética, indicativos de una operación de espionaje cibernético altamente coordinada y sofisticada», Trend Micro dicho.