Se ha observado que un actor de amenazas patrocinado por el gobierno vinculado a China se dirige a hablantes de ruso con una versión actualizada de un troyano de acceso remoto llamado PlugX.
Secureworks atribuyó los intentos de intrusión a un actor de amenazas que rastrea como presidente bronce, y a la comunidad de ciberseguridad más amplia bajo los nombres de Mustang Panda, TA416, HoneyMyte, RedDelta y PKPLUG.
“La guerra en Ucrania ha llevado a muchos países a desplegar sus capacidades cibernéticas para obtener información sobre eventos globales, maquinaciones políticas y motivaciones”, dijo la firma de seguridad cibernética. dicho en un informe compartido con The Hacker News. “Este deseo de conciencia situacional a menudo se extiende a recopilar inteligencia de aliados y ‘amigos'”.
Bronze President, activo desde al menos julio de 2018, tiene un historial de realizar operaciones de espionaje al aprovechar herramientas personalizadas y disponibles públicamente para comprometer, mantener el acceso a largo plazo y recopilar datos de objetivos de interés.
La principal de sus herramientas es PlugX, una puerta trasera de Windows que permite a los actores de amenazas ejecutar una variedad de comandos en sistemas infectados y que ha sido empleada por varios actores patrocinados por el estado chino a lo largo de los años.
Los últimos hallazgos de Secureworks sugieren una expansión de la misma campaña detallada anteriormente por Proofpoint y ESET el mes pasado, que ha implicado el uso de una nueva variante de PlugX con nombre en código Hodur, así etiquetada debido a sus superposiciones con otra versión llamada THOR que surgió en el escena en julio de 2021.
La cadena de ataque comienza con un ejecutable malicioso llamado “Blagoveshchensk – Blagoveshchensk Border Detachment.exe” que se hace pasar por un documento aparentemente legítimo con un icono de PDF que, cuando se abre, conduce a la implementación de una carga útil cifrada de PlugX desde un servidor remoto.
“Blagoveshchensk es una ciudad rusa cercana a la frontera con China y es el hogar del 56º Destacamento de la Guardia Fronteriza de la Bandera Roja de Blagoveshchenskiy”, dijeron los investigadores. “Esta conexión sugiere que el nombre del archivo se eligió para apuntar a funcionarios o personal militar familiarizado con la región”.
El hecho de que los funcionarios rusos hayan sido el objetivo de la campaña de marzo de 2022 indica que el actor de amenazas está evolucionando sus tácticas en respuesta a la situación política en Europa y la guerra en Ucrania.
“Apuntar a usuarios de habla rusa y entidades europeas sugiere que los actores de amenazas han recibido tareas actualizadas que reflejan los requisitos cambiantes de recopilación de inteligencia del [People’s Republic of China]”, dijeron los investigadores.
Los hallazgos se producen semanas después de que otro grupo de estado-nación con sede en China conocido como Nomad Panda (también conocido como RedFoxtrot) se vinculara con confianza media a los ataques contra los sectores de defensa y telecomunicaciones en el sur de Asia al aprovechar otra versión de PlugX denominada Talisman.
“PlugX se ha asociado con varios actores chinos en los últimos años”, Trellix anotado el mes pasado. “Este hecho plantea la cuestión de si el código base del malware se comparte entre diferentes grupos respaldados por el estado chino”.
“Por otro lado, la supuesta filtración del constructor PlugX v1, según informó Airbus en 2015, indica que no todas las ocurrencias de PlugX están necesariamente vinculadas a actores chinos”, agregó la compañía de ciberseguridad.