Los proveedores de servicios de telecomunicaciones en África son el objetivo de una nueva campaña orquestada por un actor de amenazas vinculado a China al menos desde noviembre de 2022.
Las intrusiones han sido atribuidas a un equipo de hackers rastreado por Symantec como dagay que también es rastreado por la comunidad de ciberseguridad más amplia como Bronze Highland y Evasive Panda.
La campaña hace uso de «complementos nunca antes vistos del marco de malware MgBot», la compañía de seguridad cibernética dicho en un informe compartido con The Hacker News. «También se vio a los atacantes usando un cargador PlugX y abusando del software legítimo de escritorio remoto AnyDesk».
El uso de Daggerfly de la cargador MgBot (también conocido como BLame o MgmBot) fue destacado por Malwarebytes en julio de 2020 como parte de los ataques de phishing dirigidos al personal del gobierno indio y a personas en Hong Kong.
De acuerdo a Trabajos segurosel actor de amenazas utiliza el phishing selectivo como vector de infección inicial para eliminar MgBot, así como otras herramientas como Cobalt Strike y un troyano de acceso remoto (RAT) de Android llamado KsRemote.
Se sospecha que el grupo lleva a cabo actividades de espionaje contra los defensores nacionales de los derechos humanos y la democracia y las naciones vecinas de China desde 2014.
Las cadenas de ataque analizadas por Symantec muestran el uso de herramientas de vivir de la tierra (LotL) como BITSAdmin y Potencia Shell para entregar cargas útiles de próxima etapa, incluido un ejecutable legítimo de AnyDesk y una utilidad de recolección de credenciales.
Posteriormente, el actor de amenazas se mueve para configurar la persistencia en el sistema de la víctima mediante la creación de una cuenta local e implementa el marco modular MgBot, que viene con una amplia gama de complementos para recopilar datos del navegador, registrar pulsaciones de teclas, capturar capturas de pantalla, grabar audio y enumerar el Servicio de directorio activo.
Defiéndase con el engaño: avanzando en la seguridad de confianza cero
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
«Todas estas capacidades habrían permitido a los atacantes recopilar una cantidad significativa de información de las máquinas de las víctimas», dijo Symantec. «Las capacidades de estos complementos también muestran que el objetivo principal de los atacantes durante esta campaña fue la recopilación de información».
La naturaleza integral de MgBot indica que los operadores lo mantienen y actualizan activamente para obtener acceso a los entornos de las víctimas.
La divulgación llega casi un mes después de que SentinelOne detallara una campaña llamada Tainted Love en el primer trimestre de 2023 dirigida a los proveedores de telecomunicaciones en el Medio Oriente. Se atribuyó a un grupo de ciberespionaje chino que comparte superposiciones con Gallium (también conocido como Othorene).
Symantec dijo además que identificó tres víctimas adicionales del mismo grupo de actividad que se encuentran en Asia y África. Dos de las víctimas, que fueron violadas en noviembre de 2022, son subsidiarias de una empresa de telecomunicaciones en la región de Medio Oriente.
«Las empresas de telecomunicaciones siempre serán un objetivo clave en las campañas de recopilación de inteligencia debido al acceso que pueden brindar potencialmente a las comunicaciones de los usuarios finales», dijo Symantec.