El actor chino de amenazas persistentes avanzadas (APT) rastreado como Winnti (también conocido como APT41) se ha dirigido a al menos 13 organizaciones que se extienden geográficamente en los EE. UU., Taiwán, India, Vietnam y China en el contexto de cuatro campañas diferentes en 2021.
«Las industrias objetivo incluyeron el sector público, la fabricación, la atención médica, la logística, la hospitalidad, la educación, así como los medios de comunicación y la aviación», dijo la firma de seguridad cibernética Group-IB. dijo en un informe compartido con The Hacker News.
Esto también incluyó el ataque a Air India que salió a la luz en junio de 2021 como parte de una campaña con nombre en código ColunmTK. A las otras tres campañas se les han asignado los apodos DelayLinkTK, Mute-Pond y Gentle-Voice en función de los nombres de dominio utilizados en los ataques.
APT41, también conocido como Bario, Atlas de bronce, Double Dragon, Wicked Panda o Winnti, es un prolífico grupo chino de ciberamenazas conocido por llevar a cabo actividades de espionaje patrocinadas por el estado en paralelo con operaciones motivadas financieramente al menos desde 2007.
Describiendo 2021 como un «año intenso para APT41», los ataques montados por el adversario involucraron principalmente el aprovechamiento de inyecciones de SQL en dominios objetivo como el vector de acceso inicial para infiltrarse en las redes de las víctimas, seguido de la entrega de una baliza Cobalt Strike personalizada en los puntos finales.
«Los miembros de APT41 generalmente usan phishing, explotan varias vulnerabilidades (incluido Proxylogon) y realizan ataques de abrevadero o de cadena de suministro para comprometer inicialmente a sus víctimas», dijeron los investigadores.
Otras acciones llevadas a cabo después de la explotación iban desde establecer la persistencia hasta el robo de credenciales y realizar un reconocimiento a través de técnicas de living-off-the-land (LotL) para recopilar información sobre el entorno comprometido y moverse lateralmente a través de la red.
La compañía con sede en Singapur dijo que identificó 106 servidores Cobalt Strike únicos que fueron utilizados exclusivamente por APT41 entre principios de 2020 y finales de 2021 para comando y control. La mayoría de los servidores ya no están activos.
Los hallazgos marcan el abuso continuo del marco de simulación del adversario legítimo por parte de diferentes actores de amenazas para actividades maliciosas posteriores a la intrusión.
«En el pasado, la herramienta fue apreciada por las bandas de ciberdelincuentes que tenían como objetivo a los bancos, mientras que hoy en día es popular entre varios actores de amenazas, independientemente de su motivación, incluidos los infames operadores de ransomware», dijo Nikita Rostovtsev, analista de amenazas de Group-IB.