Microsoft atribuyó el lunes a un actor de ciberespionaje con sede en China a una serie de ataques dirigidos a entidades diplomáticas en América del Sur.
El equipo de inteligencia de seguridad del gigante tecnológico está rastreando el clúster bajo el apodo emergente DEV-0147, describiendo la actividad como una «expansión de las operaciones de exfiltración de datos del grupo que tradicionalmente se dirigían a agencias gubernamentales y grupos de expertos en Asia y Europa».
Se dice que el actor de amenazas utiliza herramientas de piratería establecidas, como ShadowPad, para infiltrarse en los objetivos y mantener el acceso persistente.
ShadowPad, también llamado PoisonPlug, es un sucesor del troyano de acceso remoto PlugX y ha sido ampliamente utilizado por colectivos adversarios chinos con vínculos con el Ministerio de Seguridad del Estado (MSS) y el Ejército Popular de Liberación (PLA), según Secureworks.
Una de las otras herramientas maliciosas utilizadas por DEV-0147 es un cargador de paquetes web llamado QuasarLoaderque permite implementar cargas útiles adicionales en los hosts comprometidos.
Redmond no reveló el método que DEV-0147 podría estar usando para obtener acceso inicial a un entorno de destino. Dicho esto, el phishing y la orientación oportunista de aplicaciones sin parches son los vectores probables.
“Los ataques de DEV-0147 en Sudamérica incluyeron actividad posterior a la explotación que involucró el abuso de la infraestructura de identidad local para reconocimiento y movimiento lateral, y el uso de Cobalt Strike para comando y control y exfiltración de datos”, dijo Microsoft.
DEV-0147 está lejos de ser la única amenaza persistente avanzada (APT) basada en China que aprovecha ShadowPad en los últimos meses.
En septiembre de 2022, NCC Group desenterrado detalles de un ataque dirigido a una organización no identificada que abusó de una falla crítica en WSO2 (CVE-2022-29464puntaje CVSS: 9.8) para soltar web shells y activar una cadena de infección que condujo a la entrega de ShadowPad para la recopilación de inteligencia.
ShadowPad también ha sido empleado por actores de amenazas no identificados en un ataque dirigido a un ministerio de relaciones exteriores miembro de la ASEAN a través del explotación exitosa de un Microsoft Exchange Server vulnerable y conectado a Internet.
Se ha observado que la actividad, denominada REF2924 por Elastic Security Labs, comparte asociaciones tácticas con las adoptadas por otros grupos de estados-nación como Winnti (también conocido como APT41) y ChamelGang.
«El conjunto de intrusión REF2924 […] representa un grupo de ataque que parece centrado en prioridades que, cuando se observan en todas las campañas, se alinean con un interés estratégico nacional patrocinado», señaló la empresa.
El hecho de que los grupos de hackers chinos sigan usando ShadowPad a pesar de estar bien documentado a lo largo de los años sugiere que la técnica está teniendo cierto éxito.