
Se ha observado una campaña de ciberespionaje “de varios años” patrocinada por el Estado chino dirigida a organizaciones académicas, políticas y gubernamentales de Corea del Sur.
Insikt Group de Recorded Future, que es seguimiento la actividad bajo el sobrenombre de TAG-74, dijo que el adversario ha sido vinculado a “la inteligencia militar china y representa una amenaza significativa para las entidades académicas, aeroespaciales y de defensa, gubernamentales, militares y políticas en Corea del Sur, Japón y Rusia”.
La firma de ciberseguridad caracterizó el ataque a instituciones académicas de Corea del Sur como alineado con los esfuerzos más amplios de China para llevar a cabo el robo de propiedad intelectual y expandir su influencia, sin mencionar que está motivado por las relaciones estratégicas del país con los EE. UU.

Los ataques de ingeniería social montados por el adversario utilizan señuelos de archivos de ayuda HTML compilada (CHM) de Microsoft para lanzar una variante personalizada de una puerta trasera de Visual Basic Script de código abierto llamada ReVBShellque posteriormente sirve para implementar el troyano de acceso remoto Bisonal.
ReVBShell está configurado para dormir durante un intervalo específico mediante un comando emitido desde un servidor remoto que puede editar el período de tiempo. También utiliza codificación Base64 para enmascarar el tráfico de comando y control (C2).
El uso de ReVBShell se ha vinculado a otros dos grupos de nexo con China conocidos como Tick y Tonto Team, y este último se atribuye a una secuencia de infección idéntica por parte del Centro de Respuesta a Emergencias de Seguridad (ASEC) de AhnLab en abril de 2023.
Bisonal es un multifuncional troyano que puede recopilar información de archivos y procesos, ejecutar comandos y archivos, finalizar procesos, descargar y cargar archivos y eliminar archivos arbitrarios en el disco.
Luche contra la IA con IA: combata las ciberamenazas con herramientas de IA de próxima generación
¿Listo para afrontar nuevos desafíos de ciberseguridad impulsados por la IA? Únase a nuestro interesante seminario web con Zscaler para abordar la creciente amenaza de la IA generativa en la ciberseguridad.
Se dice que TAG-74 está estrechamente relacionado con Tick, lo que una vez más pone de relieve el frecuente intercambio de herramientas entre los grupos de amenazas chinos.
“La campaña TAG-74 observada es indicativa de los objetivos de recopilación de inteligencia a largo plazo del grupo contra objetivos surcoreanos”, dijo Recorded Future.
“Dado el enfoque persistente del grupo en las organizaciones surcoreanas durante muchos años y el probable ámbito operativo del Comando del Teatro del Norte, es probable que el grupo continúe siendo muy activo en la realización de recopilación de inteligencia a largo plazo sobre objetivos estratégicos también dentro de Corea del Sur. como en Japón y Rusia.”


