Los adversarios vinculados a China han sido atribuidos a un ataque continuo contra las organizaciones de la red eléctrica india, un año después de que saliera a la luz una campaña concertada dirigida a la infraestructura crítica en el país.
La mayoría de las intrusiones involucraron una puerta trasera modular llamada ShadowPad, según Insikt Group de Recorded Future, un sofisticado troyano de acceso remoto que ha sido calificado como una “obra maestra del malware de venta privada en el espionaje chino”.
“ShadowPad continúa siendo empleado por un número cada vez mayor de grupos vinculados al Ejército Popular de Liberación (EPL) y al Ministerio de Seguridad del Estado (MSS), con sus orígenes vinculados a contratistas conocidos del MSS que primero usan la herramienta en sus propias operaciones y luego probablemente actuando como intendente digital”, los investigadores dicho.
El objetivo de la campaña sostenida, dijo la compañía de ciberseguridad, es facilitar la recopilación de inteligencia relacionada con los sistemas de infraestructura crítica en preparación para futuras operaciones de contingencia. Se cree que la orientación comenzó en septiembre de 2021.
Los ataques apuntaron a siete centros estatales de despacho de carga (SDLC, por sus siglas en inglés) ubicados principalmente en el norte de la India, en particular los cercanos a la disputada frontera entre India y China en Ladakh, y uno de los objetivos fue víctima de un ataque similar revelado en febrero de 2021 y atribuido a el grupo RedEcho.
Los ataques de RedEcho de 2021 involucraron el compromiso de 10 organizaciones distintas del sector energético indio, incluidos seis de los centros de despacho de carga (RLDC) regionales y estatales del país, dos puertos, una planta de energía nacional y una subestación.
Recorded Future vinculó el último conjunto de actividades maliciosas a un grupo de amenazas emergentes que está rastreando bajo el nombre Threat Activity Group 38, también conocido como TAG-38 (similar al UNC#### y DEV-#### designaciones dadas por Mandiant y Microsoft), citando “distinciones notables” de las TTP de RedEcho previamente identificadas.
Además de atacar los activos de la red eléctrica, TAG-38 impactó un sistema nacional de respuesta a emergencias y la subsidiaria india de una empresa multinacional de logística.
Aunque se desconoce el vector de infección inicial que se usó para vulnerar las redes, el malware ShadowPad en los sistemas host fue requisado por medio de una red de dispositivos de cámara DVR/IP infectados con acceso a Internet geolocalizados en Taiwán y Corea del Sur.
“El uso de ShadowPad en los grupos de actividad chinos continúa creciendo con el tiempo, con nuevos grupos de actividad identificados regularmente usando la puerta trasera, así como la adopción continua por parte de grupos previamente rastreados”, dijeron los investigadores, y agregaron que está monitoreando al menos 10 grupos distintos con acceso al malware.
Tras la divulgación, el ministro de Energía de la Unión de India, RK Singh caracterizado las intrusiones como “intentos de sondeo” fallidos de piratería que ocurrieron en enero y febrero, y que el gobierno revisa constantemente sus mecanismos de ciberseguridad para reforzar las defensas.
China, por su parte, reiterado que “se opone y combate firmemente todas las formas de ataques cibernéticos” y que “la ciberseguridad es un desafío común que enfrentan todos los países que deben abordarse de manera conjunta a través del diálogo y la cooperación”.
“Recientemente, las empresas chinas de ciberseguridad publicaron un serie de informesrevelando que el gobierno de EE. UU. lanzó ataques cibernéticos en muchos países del mundo, incluida China, poniendo en serio peligro la seguridad de la infraestructura crítica de estos países”, dijo el portavoz del Ministerio de Relaciones Exteriores de China, Zhao Lijian, dicho.
“Vale la pena señalar que muchos de los aliados de EE. UU. o países con los que coopera en seguridad cibernética también son víctimas de ataques cibernéticos de EE. UU. Creemos que la comunidad internacional, especialmente los países vecinos de China, mantendrán los ojos bien abiertos y emitirán su propio juicio. sobre las verdaderas intenciones del lado estadounidense”.