El grupo nacional chino conocido como Dragón Camaro se ha vinculado a otra puerta trasera que está diseñada para cumplir con sus objetivos de recopilación de inteligencia.
La empresa israelí de ciberseguridad Check Point, que apodado el malware basado en Go TinyNote, dijo que funciona como una carga útil de primera etapa capaz de «enumeración básica de máquinas y ejecución de comandos a través de PowerShell o Goroutines».
Lo que le falta al malware en términos de sofisticación, lo compensa cuando se trata de establecer métodos redundantes para retener el acceso al host comprometido mediante múltiples tareas de persistencia y métodos variados para comunicarse con diferentes servidores.
Camaro Dragon se superpone con un actor de amenazas ampliamente rastreado como Mustang Panda, un grupo patrocinado por el estado de China que se sabe que está activo desde al menos 2012.
El actor de amenazas estuvo recientemente en el centro de atención por un implante de firmware personalizado llamado Horse Shell que coopta los enrutadores TP-Link en una red de malla capaz de transmitir comandos hacia y desde los servidores de comando y control (C2).
En otras palabras, el objetivo es ocultar la actividad maliciosa mediante el uso de enrutadores domésticos comprometidos como infraestructura intermedia que permite que las comunicaciones con las computadoras infectadas emane de un nodo diferente.
Los últimos hallazgos demuestran la evolución y el crecimiento en la sofisticación de las tácticas de evasión y la selección de objetivos de los atacantes, sin mencionar la combinación de herramientas personalizadas que se utilizan para romper las defensas de diferentes objetivos.
La puerta trasera de TinyNote se distribuye usando nombres relacionados con asuntos exteriores (p. ej., «PDF_ Lista de contactos de miembros diplomáticos invitados»), y probablemente esté dirigida a las embajadas del sudeste y este de Asia. También es el primer artefacto conocido de Mustang Panda escrito en Golang.
Un aspecto digno de mención del malware es su capacidad para eludir específicamente una solución antivirus de Indonesia llamada Smadav, lo que subraya su alto nivel de preparación y profundo conocimiento de los entornos de las víctimas.
«La puerta trasera de TinyNote destaca el enfoque específico de Camaro Dragon y la extensa investigación que realizan antes de infiltrarse en los sistemas de sus víctimas previstas», dijo Check Point.
«El uso simultáneo de esta puerta trasera junto con otras herramientas con diferentes niveles de avance técnico implica que los actores de amenazas buscan activamente diversificar su arsenal de ataque».
La divulgación viene como ThreatMon descubierto El uso de APT41 (también conocido como Wicked Panda) de living-off-the-land (LoteL) técnicas para iniciar una puerta trasera de PowerShell aprovechando un ejecutable legítimo de Windows llamado para archivos.
🔐 Dominio de la seguridad de API: comprensión de su verdadera superficie de ataque
Descubra las vulnerabilidades sin explotar en su ecosistema de API y tome medidas proactivas hacia una seguridad inquebrantable. ¡Únase a nuestro seminario web perspicaz!
Eso no es todo. Funcionarios gubernamentales de alto nivel de las naciones del G20 se han convertido en el objetivo de una nueva campaña de phishing orquestada por otro actor de amenazas chino conocido como Sharp Panda, por Cyble.
Los correos electrónicos contienen versiones con trampas explosivas de supuestos documentos oficiales, que emplean el método de inyección de plantilla remota para recuperar el descargador de la siguiente etapa del servidor C2 utilizando el arma de Royal Road Rich Text Format (RTF).
Vale la pena señalar que la cadena de infección antes mencionada es consistente con la actividad anterior de Sharp Panda, como lo demostró recientemente Check Point en ataques dirigidos a entidades gubernamentales en el sudeste asiático.
Además, el Ejército Popular de Liberación (PLA) de China aprovecha la información de código abierto disponible en Internet y otras fuentes con fines de inteligencia militar para obtener una ventaja estratégica sobre Occidente.
«El uso del EPL de OSINT Es muy probable que le proporcione una ventaja de inteligencia, ya que el entorno de información abierto de Occidente permite que el EPL recolecte fácilmente grandes cantidades de datos de fuente abierta, mientras que los militares occidentales deben lidiar con el entorno de información cerrado de China», Recorded Future anotado.
El análisis se basa en una lista de 50 registros de adquisiciones del EPL y de la industria de defensa china que se publicaron entre enero de 2019 y enero de 2023.
«Los proveedores de datos comerciales también deben ser conscientes de que la industria militar y de defensa de China podría estar comprando sus datos con fines de inteligencia, y deberían considerar llevar a cabo la diligencia debida al vender sus datos a entidades en China», dijo la compañía.