Una nueva investigación ha detallado la naturaleza cada vez más sofisticada del conjunto de herramientas de malware empleado por un grupo de amenazas persistentes avanzadas (APT) llamado Tierra Aughisky.
“Durante la última década, el grupo ha seguido realizando ajustes en las herramientas y despliegues de malware en objetivos específicos ubicados en Taiwán y, más recientemente, en Japón”, Trend Micro revelado en un perfil técnico la semana pasada.
Earth Aughisky, también conocido como Taidoor, es un grupo de espionaje cibernético conocido por su capacidad para abusar de cuentas, software, aplicaciones y otras debilidades legítimas en el diseño y la infraestructura de la red para sus propios fines.
Si bien se sabe que el actor de amenazas chino se dirige principalmente a organizaciones en Taiwán, los patrones de victimología observados hacia fines de 2017 indican una expansión a Japón.
Los sectores verticales de la industria más comúnmente apuntados incluyen gobierno, telecomunicaciones, manufactura, industria pesada, tecnología, transporte y atención médica.
Las cadenas de ataque montadas por el grupo suelen aprovechar el spear-phishing como método de entrada, utilizándolo para implementar puertas traseras en la siguiente etapa. La principal de sus herramientas es un troyano de acceso remoto llamado Taidoor (también conocido como Roudan).
El grupo también se ha relacionado con una variedad de familias de malware, como GrubbyRAT, K4RAT, LuckDLL, Serkdes, Taikite y Taleret, como parte de sus intentos de actualizar constantemente su arsenal para evadir el software de seguridad.
Algunas de las otras puertas traseras notables empleadas por Earth Aughisky a lo largo de los años son las siguientes:
- SiyBot, una puerta trasera básica que utiliza servicios públicos como Gubb y 30 Boxes para comando y control (C2)
- TWTRAT, que abusa de la función de mensajes directos de Twitter para C2
- DropNetClient (también conocido como Buxzop), que aprovecha la API de Dropbox para C2
La atribución de Trend Micro de las cepas de malware al actor de amenazas se basa en las similitudes en el código fuente, los dominios y las convenciones de nomenclatura, y el análisis también descubre superposiciones funcionales entre ellos.
La firma de ciberseguridad también vinculó las actividades de Earth Aughisky con otro actor de APT cuyo nombre en código es Airbus como tigre piadoso (también conocido como APT24) basado en el uso del mismo cuentagotas en varios ataques ocurridos entre abril y agosto de 2014.
2017, el año en que el grupo fijó su mirada en Japón y el sudeste asiático, también ha sido un punto de inflexión en la forma en que el volumen de los ataques ha mostrado una disminución significativa desde entonces.
A pesar de la longevidad del actor de amenazas, el cambio reciente en objetivos y actividades probablemente sugiere un cambio en los objetivos estratégicos o que el grupo está renovando activamente su malware e infraestructura.
“Grupos como Earth Aughisky tienen suficientes recursos a su disposición que les permiten la flexibilidad para igualar su arsenal para implementaciones a largo plazo de ciberespionaje”, dijo CH Lei, investigador de Trend Micro.
“Las organizaciones deben considerar este tiempo de inactividad observado de los ataques de este grupo como un período de preparación y vigilancia para cuando vuelva a estar activo”.