Los investigadores de seguridad cibernética han desenmascarado la identidad de una de las personas que se cree que está asociada con el actor del crimen electrónico conocido como Grupo XE.
De acuerdo a Menlo Seguridadque reunió la información de diferentes fuentes en línea, «Nguyen Huu Tai, que también se hace llamar Joe Nguyen y Thanh Nguyen, tiene la mayor probabilidad de estar involucrado con el Grupo XE».
XE Group (también conocido como XeThanh), previamente documentado por Malwarebytes y Volexidadtiene un historial de llevar a cabo actividades delictivas cibernéticas desde al menos 2013. Se sospecha que es un actor de amenazas de origen vietnamita.
Algunas de las entidades a las que apunta el actor de amenazas abarcan agencias gubernamentales, organizaciones de construcción y sectores de atención médica.
Se sabe que compromete los servidores expuestos a Internet con exploits conocidos y monetiza las intrusiones mediante la instalación de códigos de robo de contraseñas o robo de tarjetas de crédito para servicios en línea.
«Ya en 2014, se vio al actor de amenazas creando Guiones de TI automáticos que generaba automáticamente correos electrónicos y un validador de tarjetas de crédito rudimentario para tarjetas de crédito robadas”, dijo la compañía de ciberseguridad.
A principios de marzo, las autoridades de ciberseguridad e inteligencia de EE. UU. revelaron los intentos de XE Group de explotar una falla de seguridad crítica de tres años en los dispositivos Progress Telerik (CVE-2019-18935, puntaje CVSS: 9.8) para obtener un punto de apoyo.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
El adversario también ha intentado obtener acceso a las redes corporativas en el pasado a través de correos electrónicos de phishing enviados utilizando dominios fraudulentos que imitan a empresas legítimas como PayPal y eBay.
Además de camuflar los archivos .EXE como archivos .PNG para evitar la detección, algunos ataques han empleado un shell web denominado ASPXEspía para obtener el control de los sistemas vulnerables.
«XE Group sigue siendo una amenaza continua para varios sectores, incluidas las agencias gubernamentales, las organizaciones de construcción y los proveedores de atención médica», dijeron los investigadores.