Organizaciones de Taiwán y una organización no gubernamental (ONG) estadounidense con sede en China han sido blanco de un grupo de piratas informáticos patrocinado por el estado afiliado a Beijing llamado Mosca daga utilizando un conjunto mejorado de herramientas antimalware.
La campaña es una señal de que el grupo «también se dedica al espionaje interno», dijo el equipo Threat Hunter de Symantec, parte de Broadcom. dicho En un nuevo informe publicado hoy, se afirma que «en el ataque a esta organización, los atacantes aprovecharon una vulnerabilidad en un servidor HTTP Apache para distribuir su malware MgBot».
Daggerfly, también conocido con los nombres Bronze Highland y Evasive Panda, fue observado anteriormente utilizando el marco de malware modular MgBot en relación con una misión de recopilación de información dirigida a proveedores de servicios de telecomunicaciones en África. Se sabe que está operativo desde 2012.
«Daggerfly parece ser capaz de responder a la exposición actualizando rápidamente su conjunto de herramientas para continuar con sus actividades de espionaje con una interrupción mínima», señaló la compañía.
El último conjunto de ataques se caracteriza por el uso de una nueva familia de malware basada en MgBot, así como una versión mejorada de un conocido malware de Apple macOS llamado MACMA, que fue expuesto por primera vez por el Grupo de Análisis de Amenazas (TAG) de Google en noviembre de 2021 como distribuido a través de ataques de abrevadero dirigidos a usuarios de Internet en Hong Kong abusando de fallas de seguridad en el navegador Safari.
Este desarrollo marca la primera vez que la cepa de malware, que es capaz de recolectar información sensible y ejecutar comandos arbitrarios, ha sido vinculada explícitamente a un grupo de hackers en particular.
«Los actores detrás de macOS.MACMA al menos estaban reutilizando código de desarrolladores de ELF/Android y posiblemente también podrían haber estado apuntando a teléfonos Android con malware», SentinelOne anotado en un análisis posterior en su momento.
Las conexiones de MACMA con Daggerly también se derivan de superposiciones de código fuente entre el malware y Mgbot, y del hecho de que se conecta a un servidor de comando y control (C2) (103.243.212[.]98) que también ha sido utilizado por un gotero MgBot.
Otro nuevo malware en su arsenal es Nightdoor (también conocido como NetMM y Suzafk), un implante que utiliza la API de Google Drive para C2 y que se ha utilizado en ataques de abrevadero dirigidos a usuarios tibetanos desde al menos septiembre de 2023. Los detalles de la actividad fueron documentados por primera vez por ESET a principios de marzo.
«El grupo puede crear versiones de sus herramientas dirigidas a la mayoría de las plataformas de sistemas operativos», dijo Symantec, añadiendo que ha «visto evidencia de la capacidad de troyanizar APK de Android, herramientas de intercepción de SMS, herramientas de intercepción de solicitudes DNS e incluso familias de malware dirigidas al sistema operativo Solaris».
El desarrollo ocurre luego de que el Centro Nacional de Respuesta a Emergencias de Virus Informáticos de China (CVERC) afirmó que Volt Typhoon, al que las naciones de Five Eyes atribuyen un grupo de espionaje con nexo con China, era una invención de las agencias de inteligencia estadounidenses, describiéndolo como una campaña de desinformación.
«Aunque sus principales objetivos son el Congreso y el pueblo estadounidense, también intenta…[s] Difamar a China, sembrar discordias [sic] entre China y otros países, contener el desarrollo de China y robar a las empresas chinas», dijo el CVERC. afirmó en un informe reciente.