Los piratas informáticos respaldados por el estado chino irrumpieron en una red informática utilizada por las fuerzas armadas holandesas atacando los dispositivos Fortinet FortiGate.
«Este [computer network] se utilizó para investigación y desarrollo (I+D) no clasificados», el Servicio de Seguridad e Inteligencia Militar Holandés (MIVD) dicho en una oracion. «Debido a que este sistema era autónomo, no provocó ningún daño a la red de defensa». La red tenía menos de 50 usuarios.
La intrusión, que tuvo lugar en 2023, aprovechó una falla de seguridad crítica conocida en FortiOS SSL-VPN (CVE-2022-42475, puntuación CVSS: 9.3) que permite a un atacante no autenticado ejecutar código arbitrario a través de solicitudes especialmente diseñadas.
La explotación exitosa de la falla allanó el camino para el despliegue de una puerta trasera denominada PERCHERO desde un servidor controlado por actores que está diseñado para otorgar acceso remoto persistente a los dispositivos comprometidos.
«El malware COATHANGER es sigiloso y persistente», afirmó el Centro Nacional de Seguridad Cibernética de Holanda (NCSC). «Se esconde al conectar llamadas al sistema que podrían revelar su presencia. Sobrevive a reinicios y actualizaciones de firmware».
COATHANGER se diferencia de BOLDMOVE, otra puerta trasera vinculada a un presunto actor de amenazas con sede en China que se sabe que aprovechó CVE-2022-42475 como día cero en ataques dirigidos a una entidad gubernamental europea y un proveedor de servicios gestionados (MSP) ubicado en África. ya en octubre de 2022.
Este hecho marca la primera vez que los Países Bajos atribuyen públicamente una campaña de ciberespionaje a China. Reuters, que en bancarrota La historia, dijo que el malware lleva el nombre de un fragmento de código que contenía una línea de Lamb to the Slaughter, un cuento del autor británico Roald Dahl.
También llega días después de que las autoridades estadounidenses tomaran medidas para desmantelar una botnet que incluía enrutadores Cisco y NetGear obsoletos que fueron utilizados por actores de amenazas chinos como Volt Typhoon para ocultar los orígenes del tráfico malicioso.
El año pasado, Mandiant, propiedad de Google, reveló que un grupo de ciberespionaje vinculado a China, rastreado como UNC3886, explotó los días cero en dispositivos Fortinet para implementar implantes THINCRUST y CASTLETAP para ejecutar comandos arbitrarios recibidos desde un servidor remoto y filtrar datos confidenciales.