El actor de amenazas persistentes avanzadas (APT) conocido como Equipo Tonto llevó a cabo un ataque fallido contra la empresa de ciberseguridad Group-IB en junio de 2022.
La firma con sede en Singapur dicho que detectó y bloqueó correos electrónicos de phishing maliciosos que se originaban en el grupo dirigido a sus empleados. También es el segundo ataque dirigido al Grupo-IB, el primero de los cuales tuvo lugar en marzo de 2021.
Tonto Team, también llamado Bronze Huntley, cacto peteEarth Akhlut, Karma Panda y UAC-0018, es un presunto grupo de piratería chino que se ha relacionado con ataques dirigidos a una amplia gama de organizaciones en Asia y Europa del Este.
Se sabe que el actor está activo desde al menos 2009 y se dice que compartir lazos al Tercer Departamento (3PLA) del Shenyang TRB del Ejército Popular de Liberación (Unidad 65016).
Las cadenas de ataque involucran señuelos de phishing que contienen archivos adjuntos maliciosos creados con el kit de herramientas de explotación Royal Road Rich Text Format (RTF) para colocar puertas traseras como Bisonal, Dexbia y ShadowPad (también conocido como PoisonPlug).
“Un método ligeramente diferente […] utilizado por este actor de amenazas en la naturaleza es el uso de direcciones de correo electrónico corporativas legítimas, muy probablemente obtenidas mediante phishing, para enviar correos electrónicos a otros usuarios”, Trend Micro revelado en 2020. “El uso de estos correos electrónicos legítimos aumenta las posibilidades de que las víctimas hagan clic en el archivo adjunto, infectando sus máquinas con malware”.
El colectivo adversario, en marzo de 2021, también surgió como uno de los actores de amenazas para explotar las fallas de ProxyLogon en Microsoft Exchange Server para atacar a las empresas de seguridad cibernética y adquisición con sede en Europa del Este.
Coincidiendo con la invasión militar rusa de Ucrania el año pasado, se observó que el Tonto Team apuntaba a empresas científicas y técnicas rusas y agencias gubernamentales con el malware Bisonal.
El intento de ataque en Group-IB no es diferente en el sentido de que el actor de amenazas aprovechó los correos electrónicos de phishing para distribuir documentos maliciosos de Microsoft Office creados con el arma Royal Road para implementar Bisonal.
“Este malware proporciona acceso remoto a una computadora infectada y permite que un atacante ejecute varios comandos en ella”, dijeron los investigadores Anastasia Tikhonova y Dmitry Kupin en un informe compartido con The Hacker News.
También se emplea un descargador previamente no documentado denominado Silencio rápido por el Equipo de Respuesta a Emergencias Informáticas de Ucrania (CERT-UA), que es el principal responsable de recuperar malware de próxima etapa desde un servidor remoto.
“Los principales objetivos de las APT chinas son el espionaje y el robo de propiedad intelectual”, dijeron los investigadores. “Sin duda, Tonto Team seguirá investigando a las empresas de TI y ciberseguridad aprovechando el spear-phishing para entregar documentos maliciosos utilizando vulnerabilidades con señuelos especialmente preparados para este propósito”.
About the Author
