Un grupo de actividad de estado-nación originario de China ha sido vinculado a ataques cibernéticos a docenas de organizaciones en Taiwán como parte de una supuesta campaña de espionaje.
El equipo de Microsoft Threat Intelligence está rastreando la actividad bajo el nombre Tifón de linoque también se conoce como Panda Etéreo.
«Flax Typhoon obtiene y mantiene acceso a largo plazo a las redes de organizaciones taiwanesas con un uso mínimo de malware, confiando en herramientas integradas en el sistema operativo, junto con algún software normalmente benigno para permanecer silenciosamente en estas redes», dijo la compañía. dicho.
Dijo además que no ha observado que el grupo haya utilizado el acceso como arma para llevar a cabo la recopilación de datos y la exfiltración. La mayoría de los objetivos incluyen agencias gubernamentales, instituciones educativas, manufactura crítica y organizaciones de tecnología de la información en Taiwán.
También se ha detectado un número menor de víctimas en el sudeste asiático, América del Norte y África. Se sospecha que el grupo ha estado activo desde mediados de 2021.
«Las operaciones de Ethereal Panda se centran principalmente en entidades de los sectores académico, tecnológico y de telecomunicaciones en Taiwán», CrowdStrike notas en su descripción de la tripulación de hackers. «Ethereal Panda depende en gran medida de los ejecutables de SoftEther VPN para mantener el acceso a las redes de las víctimas, pero también se ha observado implementando el shell web GodZilla».
El enfoque principal del actor gira en torno a la persistencia, el movimiento lateral y el acceso a credenciales, y el actor emplea la vida de la tierra (muchol) métodos y actividades prácticas con el teclado para lograr sus objetivos.
El modus operandi está en línea con la práctica de los actores de amenazas de actualizar continuamente sus enfoques para evadir la detección, confiando en las herramientas disponibles en el entorno de destino para evitar descargas innecesarias y creación de componentes personalizados.
El acceso inicial se facilita mediante la explotación de vulnerabilidades conocidas en servidores públicos y la implementación de shells web como China Chopper, seguido del establecimiento de un acceso persistente a través del Protocolo de escritorio remoto (RDP), la implementación de un puente VPN para conectarse a un servidor remoto y la recolección de credenciales. usando Mimikatz.
Un aspecto digno de mención de los ataques es la modificación del comportamiento de Sticky Keys para iniciar el Administrador de tareas, lo que permite a Flax Typhoon realizar una post-explotación en el sistema comprometido.
«En los casos en los que Flax Typhoon necesita moverse lateralmente para acceder a otros sistemas en la red comprometida, el actor utiliza LOLBins, incluyendo Windows Remote Management (WinRM) y WMIC», dijo el fabricante de Windows.
El desarrollo se produce tres meses después de que Microsoft expusiera a otro actor vinculado a China llamado Volt Typhoon (también conocido como Bronze Silhouette o Vanguard Panda), que ha sido observado basándose exclusivamente en técnicas de LotL para pasar desapercibido y exfiltrar datos.
Si bien el cruce de tácticas e infraestructura entre los actores de amenazas que operan desde China no es inusual, los hallazgos pintan el panorama de un panorama de amenazas en constante evolución, en el que los adversarios cambian su estrategia para volverse más selectivos en sus operaciones de seguimiento.