Un presunto actor patrocinado por el estado chino violó una autoridad de certificación digital, así como agencias gubernamentales y de defensa ubicadas en diferentes países de Asia como parte de una campaña en curso desde al menos marzo de 2022.
Symantec, de Broadcom Software, vinculó los ataques a un grupo adversario que rastrea bajo el nombre picudo, citando el uso de herramientas previamente atribuidas a este actor. La actividad parece estar impulsada por el espionaje y el robo de datos, aunque hasta la fecha no se dice que se hayan robado datos.
picudotambién llamado Bronce Elgin, Lotus Blossom, Lotus Panda, Dragón Primaveray Trip, es un grupo de amenaza persistente avanzada (APT) que se cree que opera en nombre de los intereses chinos. Los objetivos principales incluyen organizaciones gubernamentales y militares en el sudeste asiático.
Los ataques montados por el adversario en 2019 involucraron el uso de puertas traseras como Hannotog y Sagerunexcon las intrusiones observadas en Hong Kong, Macao, Indonesia, Malasia, Filipinas y Vietnam.
Ambos implantes están diseñados para otorgar acceso remoto persistente a la red de la víctima, incluso cuando se sabe que el actor de la amenaza despliega un ladrón de información conocido como Catchamas en casos seleccionados para exfiltrar información confidencial.
«El objetivo de una autoridad de certificación es notable, ya que si los atacantes pudieran comprometerla con éxito para acceder a los certificados, podrían usarlos para firmar malware con un certificado válido y ayudar a evitar la detección en las máquinas de las víctimas», investigadores de Symantec. dijo en un informe compartido con The Hacker News.
«También podría potencialmente usar certificados comprometidos para interceptar el tráfico HTTPS».
Sin embargo, la compañía de ciberseguridad señaló que no hay evidencia que indique que Billbug logró comprometer los certificados digitales. La autoridad correspondiente, dijo, fue notificada de la actividad.
Un análisis de la última ola de ataques indica que es probable que el acceso inicial se obtenga a través de la explotación de aplicaciones orientadas a Internet, luego de lo cual se emplea una combinación de herramientas personalizadas y de vida fuera de la tierra para cumplir con sus objetivos operativos.
Esto comprende utilidades como WinRAR, Ping, Traceroute, NBTscan, Certutil, además de una puerta trasera capaz de descargar archivos arbitrarios, recopilar información del sistema y cargar datos encriptados.
También se detectó en los ataques una herramienta de proxy multisalto de código abierto llamada Polizón y el malware Sagerunex, que se instala en la máquina a través de Hannotog. La puerta trasera, por su parte, está equipada para ejecutar comandos arbitrarios, soltar cargas útiles adicionales y desviar archivos de interés.
«La capacidad de este actor para comprometer a múltiples víctimas a la vez indica que este grupo de amenazas sigue siendo un operador hábil y con buenos recursos que es capaz de llevar a cabo campañas sostenidas y de gran alcance», concluyeron los investigadores.
«Billbug tampoco parece inmutarse por la posibilidad de que se le atribuya esta actividad, con la reutilización de herramientas que se han vinculado al grupo en el pasado».