Se ha atribuido a un grupo de piratas informáticos chino una nueva campaña destinada a infectar a funcionarios gubernamentales en Europa, Medio Oriente y América del Sur con un malware modular conocido como PlugX.
La firma de seguridad cibernética Secureworks dijo que identificó las intrusiones en junio y julio de 2022, demostrando una vez más el enfoque continuo del adversario en el espionaje contra los gobiernos de todo el mundo.
«PlugX es un malware modular que se pone en contacto con un servidor de comando y control (C2) para tareas y puede descargar complementos adicionales para mejorar su capacidad más allá de la recopilación de información básica», dijo Secureworks Counter Threat Unit (CTU) en un comunicado. reporte compartido con The Hacker News.
Bronze President es un actor de amenazas con sede en China activo desde al menos julio de 2018 y probablemente se estima que es un grupo patrocinado por el estado que aprovecha una combinación de herramientas patentadas y disponibles públicamente para comprometer y recopilar datos de sus objetivos.
También está documentado públicamente con otros nombres, como HoneyMyte, Mustang Panda, Red Lich y Temp.Hex. Una de sus principales herramientas de elección es PlugX, un troyano de acceso remoto que se ha compartido ampliamente entre los colectivos adversarios chinos.
A principios de este año, se observó que el grupo atacaba a funcionarios del gobierno ruso con una versión actualizada de la puerta trasera PlugX llamada Hodur, junto con entidades ubicadas en Asia, la Unión Europea y los EE. UU.
La atribución de Secureworks de la última campaña a Bronze President se deriva del uso de PlugX y documentos atractivos con temas políticos que se alinean con regiones que son de importancia estratégica para China.
Las cadenas de ataque distribuyen archivos RAR que contienen un archivo de acceso directo de Windows (.LNK) disfrazado de documento PDF, que se abre y ejecuta un archivo legítimo presente en una carpeta oculta anidada incrustada en el archivo.
Esto allana el camino para colocar un documento señuelo, mientras que la carga útil de PlugX configura la persistencia en el host infectado.
«BRONZE PRESIDENT ha demostrado la capacidad de pivotar rápidamente para nuevas oportunidades de recopilación de inteligencia», dijeron los investigadores. «Las organizaciones en las regiones geográficas de interés para China deben monitorear de cerca las actividades de este grupo, especialmente las organizaciones asociadas o que operan como agencias gubernamentales».